Yeni bir ortak tavsiye belgesinde, ABD ve diğer ülkelerdeki siber güvenlik ve istihbarat teşkilatları, Dying Ember kod adlı bir operasyonun parçası olarak kolluk kuvvetleri tarafından virüslü yönlendiricilerden oluşan bir botnet’in düşürülmesinden haftalar sonra, Ubiquiti EdgeRouter kullanıcılarını koruyucu önlemler almaya çağırıyor.
MooBot adlı botnet’in, APT28 olarak bilinen Rusya bağlantılı bir tehdit aktörü tarafından gizli siber operasyonları kolaylaştırmak ve daha sonra istismar edilmek üzere özel kötü amaçlı yazılımları bırakmak için kullanıldığı söyleniyor. Rusya Genelkurmay Ana Müdürlüğü’ne (GRU) bağlı APT28’in en az 2007’den beri aktif olduğu biliniyor.
Yetkililer, APT28 aktörlerinin “kimlik bilgilerini toplamak, NTLMv2 özetlerini, proxy ağ trafiğini toplamak ve hedef odaklı kimlik avı açılış sayfalarını ve özel araçları barındırmak için dünya çapında güvenliği ihlal edilmiş EdgeRouters’ı kullandığını” söyledi. [PDF].
Düşmanın EdgeRouters kullanımı 2022 yılına kadar uzanıyor; saldırılar Çek Cumhuriyeti, İtalya, Litvanya’da havacılık ve savunma, eğitim, enerji ve kamu hizmetleri, hükümetler, konaklama, üretim, petrol ve gaz, perakende, teknoloji ve ulaşım sektörlerini hedef alıyordu. Ürdün, Karadağ, Polonya, Slovakya, Türkiye, Ukrayna, BAE ve ABD
MooBot saldırıları, OpenSSH truva atlarını dağıtmak için varsayılan veya zayıf kimlik bilgilerine sahip yönlendiricileri hedeflemeyi gerektirir; APT28, kimlik bilgilerini, proxy ağ trafiğini, ana bilgisayar kimlik avı sayfalarını ve diğer araçları toplamak için bash komut dosyası ve diğer ELF ikili dosyalarını sunmak için bu erişimi elde eder.
Buna, siteler arası komut dosyası çalıştırma ve tarayıcıdaki tarayıcı (BitB) hedefli kimlik avı kampanyaları aracılığıyla toplanan, özel olarak hedeflenen web posta kullanıcılarına ait hesap kimlik bilgilerini yüklemek için Python komut dosyaları da dahildir.
APT28 ayrıca, Microsoft Outlook’ta NT LAN Manager (NTLM) karmalarının çalınmasına olanak tanıyan ve aktarma saldırısı başlatabilen, artık yamalanmış kritik bir ayrıcalık yükseltme kusuru olan CVE-2023-23397’nin (CVSS puanı: 9,8) kötüye kullanılmasıyla da ilişkilendirilmiştir. herhangi bir kullanıcı etkileşimi gerektirmeden.
Kötü amaçlı yazılım cephaneliğindeki bir diğer araç da, tehlikeye atılmış Ubiquiti EdgeRouters’ı komuta ve kontrol (C2) altyapısı olarak kullanarak kurban makinelerde rastgele komutlar yürütebilen bir Python arka kapısı olan MASEPIE’dir.
Ajanslar, “Güvenliği aşılmış Ubiquiti EdgeRouters’a root erişimi sayesinde APT28 aktörleri, araçları yüklemek ve kötü amaçlı kampanyalar yürütürken kimliklerini gizlemek için Linux tabanlı işletim sistemlerine sınırsız erişime sahip” dedi.
Kuruluşların, dosya sistemlerini kötü amaçlı dosyalardan temizlemek, en son ürün yazılımı sürümüne yükseltmek, varsayılan kimlik bilgilerini değiştirmek ve uzaktan yönetim hizmetlerinin açığa çıkmasını önlemek için güvenlik duvarı kurallarını uygulamak için yönlendiricileri donanım fabrika ayarlarına sıfırlaması önerilir.
Ortaya çıkanlar, ulus devlet korsanlarının yönlendiricileri saldırılar için giderek daha fazla bir başlangıç noktası olarak kullandığının, bunları VPNFilter, Cyclops Blink ve KV-botnet gibi botnet’ler oluşturmak ve kötü amaçlı faaliyetlerini yürütmek için kullandıklarının bir işareti.
Bülten, Five Eyes ülkelerinin, Rusya’nın Dış İstihbarat Servisi’ne (SVR) bağlı tehdit grubu ve SolarWinds, Microsoft ve HPE’ye yapılan saldırıların arkasındaki kuruluş olan APT29’u, buluta erişim için hizmet hesapları ve hareketsiz hesaplar kullanması konusunda çağırmasından bir gün sonra geldi. Hedef kuruluşlardaki ortamlar.