Pawn Storm APT, Devlet Departmanlarına Hash Aktarma Saldırıları Başlattı


Trendmicro tarafından yapılan analizde, bu gelişmiş ısrarcı tehdit (APT) aktörünün son zamanlardaki manevraları inceleniyor, taktiklerin inatçı tekrarına ve görünüşte basit kampanyalar ile içerideki gizli karmaşıklık arasındaki karmaşık dansa ışık tutuluyor.

APT28 ve Forest Blizzard takma adlarıyla bilinen Pawn Storm’un dayanıklılığı, on yıl süren aralıksız siber saldırı destanında yankılanıyor.

Bazıları eski kimlik avı tekniklerini göz ardı etse de, genellikle aynı anda yüzlerce kişiyi hedef alan bu kampanyalar, tehdit aktörünün gelişen altyapısına ve yüzeyin altında gizlenen daha gelişmiş istismarlara ilişkin incelikli bir anlayış sağlıyor.

Belge

Posta Kutunuzda Ücretsiz ThreatScan’i Çalıştırın

Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.

Gürültüde Yön Bulma – Net-NTLMv2 Hash Aktarma Saldırıları*

Pawn Storm, Nisan 2022’den Kasım 2023’e kadar kapsamlı Net-NTLMv2 hash aktarma saldırıları düzenleyerek dış ilişkiler, enerji, savunma ve ulaştırma alanlarındaki devlet kurumlarına karşı faaliyetlerin zirve noktasına ulaşmasını sağladı.

Bu amansız saldırı sadece bir gürültü gösterisi mi yoksa küresel hükümet ağlarını ve savunma sanayisini hedef alan kaba kuvvet girişimlerinin uygun maliyetli otomasyonu mu?

Trend Micro, Pawn Storm’un VPN hizmetleri, Tor ve güvenliği ihlal edilmiş EdgeOS yönlendiricileri de dahil olmak üzere bir dizi gelişmiş anonimleştirme aracı kullandığını söyledi.

Bu anonimlik örtüsü, Tor veya VPN çıkış düğümleri aracılığıyla erişilen, güvenliği ihlal edilmiş e-posta hesaplarından kaynaklanan hedef odaklı kimlik avı e-postalarını da kapsar.

Siber satranç tahtası, ücretsiz hizmetlerin ve URL kısaltıcıların entegrasyonuyla genişleyerek bulunması zor varlığına katmanlar ekliyor.

Güvenlik Açığı İstismarı – CVE-2023-23397 Açıklandı

Mart 2023, kritik Outlook güvenlik açığı CVE-2023-23397’nin Pawn Storm tarafından istismar edilmesine tanık oldu.

Hedef odaklı kimlik avı e-postaları yoluyla iletilen bu kusur, saldırganın kurban kuruluşlardaki Microsoft Exchange Sunucularını sürekli olarak hedef alarak Net-NTLMv2 karma geçiş saldırıları başlatmasına olanak tanıdı.

Satranç tahtası, sıfırıncı gün güvenlik açıklarından yararlanmanın karmaşık hareketleriyle gelişir.

Pawn Storm, incelikli bir şekilde Ekim 2022’de modern bir bilgi hırsızı devreye soktu.

Komuta ve kontrol sunucusu olmayan bu kötü amaçlı eklenti, elçiliklerden ve yüksek profilli hedeflerden verileri bağımsız olarak sızdırdı.

Hedef odaklı kimlik avı e-postası
Hedef odaklı kimlik avı e-postası

Pawn Storm tarafından Ekim 2022’de gönderilen, C&C sunucusu olmayan basit bir bilgi hırsızı yükleyen kötü amaçlı bir ek içeren hedef odaklı kimlik avı e-postası

Çalınan bilgilerin ücretsiz dosya paylaşım hizmetlerine gizlice yüklendiği ve atıflardan kaçınıldığı kaba dış görünüş, metodik bir yaklaşımı gizliyor.

Pawn Storm’un mirası yirmi yılı aşıyor ve hem saldırganlığı hem de kararlılığı bünyesinde barındırıyor.

Kaba kuvvet saldırılarından sıfır gün güvenlik açıklarının konuşlandırılmasına kadar uzanan stratejik evrimi, savunucuları bu dijital satranç tahtasındaki karmaşık hamleleri deşifre etmeye zorluyor.

Ekte, savunmalarını güçlendirmek isteyen ağ savunucuları için kapsamlı bir gösterge listesi sunulmaktadır.

Pawn Storm’un paylaşılan IP adreslerini kullanmasına rağmen, taktiklerindeki nispeten yavaş değişiklikler, uzlaşmanın ilk aşamalarını tespit etmek için bir işaret görevi görüyor.



Source link