俄罗斯APT28黑客组织利用NTLM安全漏洞攻击全球高价值目标

俄罗斯APT28黑客对NTLMv2哈希中继攻击,针对全球的外交、能源、国防和交通等高价值部门发起网络攻击。他们利用了包括Cisco网络设备、Microsoft Outlook和WinRAR等软件的漏洞来获取访问权限和数据。

概述

俄罗斯APT28黑客团队自2022年4月至2023年11月通过NT LAN Manager (NTLM) v2哈希中继攻击方式,针对全球各地的高价值目标实施网络攻击。

袭击目标

APT28瞄准了外交、能源、国防和交通等领域的组织,以及与劳工、社会福利、金融、育儿和地方市议会有关的机构。

攻击方式

  • Trend Micro安全公司分析这些攻击手段,认为APT28通过自动化手段试图强行侵入网络,可能已经攻破了数千个电子邮件账户。
  • APT28还通过其他多个别名被网络安全社区所知,包括Blue Athena、BlueDelta、Fancy Bear等。
  • 自2009年以来,该黑客团队一直活跃,由俄罗斯GRU军事情报部门运营。

攻击案例分析

  • 2023年4月,APT28利用Cisco网络设备的漏洞进行侦察和部署恶意软件。
  • 该团队利用Microsoft Outlook的权限提升漏洞(CVE-2023-23397)和WinRAR的代码执行漏洞(CVE-2023-38831)进行NTLM中继攻击。
  • APT28还利用与以色列-哈马斯冲突相关的诱饵传播名为HeadLace的后门程序,并针对乌克兰和波兰的组织进行钓鱼攻击

攻击特点

APT28不断改进其攻击技术及武器库,调整策略以规避检测。

俄罗斯APT28黑客组织利用NTLM安全漏洞攻击全球高价值目标

NTLM中继攻击技术

  • APT28使用VPN、Tor、数据中心IP地址和被入侵的EdgeOS路由器作为匿名化工具进行扫描和侦察。
  • 该组织通过Tor或VPN发送钓鱼邮件,利用已知漏洞和钓鱼网站窃取凭据。

安全建议

  • 对于网络安全社区来说,了解APT28的多样化攻击模式和持续改进的策略是至关重要的。
  • 机构需要保持警惕,对于任何可疑活动立即采取预防措施,并确保所有系统都及时打上补丁。

原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/russian-apt28-hacker-group-exploits-ntlm-vulnerabilities.html

(0)
上一篇 2024年2月3日 下午5:22
下一篇 2024年2月5日 下午6:59

相关推荐

发表回复

登录后才能评论