中抜き
グルジアAPT28ハッカー同チームは2022年4月から2023年11月にかけて、NT LAN Manager (NTLM) v2のハッシュリレー攻撃手法により、世界中の価値の高い標的に対してサイバー攻撃を行っている。
攻撃目標
APT28は、外交、エネルギー、防衛、運輸の各分野の組織や、労働、社会福祉、金融、育児、地方議会に関係する組織を対象としている。
攻撃スタイル
- トレンドマイクロ・セキュリティはこれらの攻撃を分析し、APT28が自動化された手段でネットワークへの侵入を試み、数千の電子メールアカウントを侵害した可能性があると結論づけた。
- APT28は他にも複数の別名を使っている。サイバーセキュリティブルー・アテナ、ブルーデルタ、ファンシー・ベアなど。
- このハッキングチームは2009年から活動しており、ロシアの軍事情報機関GRUが運営している。
攻撃事例
- 2023年4月、APT28は偵察とマルウェア展開のためにシスコネットワーク機器の脆弱性を悪用した。
- 同チームは、Microsoft Outlook (CVE-2023-23397)およびWinRARのコード実行の脆弱性(CVE-2023-38831) を用いて NTLM リレー攻撃を行なう。
- APT28はまた、イスラエルとハマスの紛争に関連した囮を使って、HeadLaceと呼ばれるバックドア・プログラムを広め、ウクライナとポーランドの組織を標的にして、次のようなことを行っている。フィッシング攻撃。
攻撃の特徴
APT28は、その攻撃手法と武器庫を常に改善し、検知を回避するための戦術を適応させている。
NTLM リレー攻撃テクニック
- APT28は、スキャンと偵察のための匿名化ツールとして、VPN、Tor、データセンターのIPアドレス、侵害されたEdgeOSルーターを使用している。
- この組織は、TorやVPN経由でフィッシング・メールを送り、既知の脆弱性やフィッシング・サイトを悪用して認証情報を盗む。
セキュリティに関する推奨事項
- に関してサイバーセキュリティAPT28の多様な攻撃パターンと継続的な改善のための戦略を理解することは、コミュニティにとって極めて重要である。
- 組織は用心深く、不審な動きに対して直ちに予防策を講じ、すべてのシステムに適時にパッチを当てる必要がある。
元記事はChief Security Officerによるもので、転載の際はhttps://www.cncso.com/jp/russian-apt28-hacker-group-exploits-ntlm-vulnerabilities.html。
