Soldati sponsorizzati dallo stato russo, identificati come APT28, hanno messo in atto sofisticate tecniche di attacco attraverso il relay di hash NTLM v2 da aprile 2022 a novembre 2023, prendendo di mira organizzazioni di alto profilo a livello globale. Questi attacchi si concentrano su enti che operano in settori cruciali come gli affari esteri, l’energia, la difesa e i trasporti, oltre a organizzazioni legate al lavoro, al benessere sociale, alle finanze, alla genitorialità e ai consigli comunali locali.
La cybersecurity firm Trend Micro ha valutato questi tentativi di intrusione come un metodo “economicamente efficiente” per automatizzare i tentativi di forzatura bruta per accedere alle reti delle organizzazioni target. È possibile che l’adversario abbia compromesso migliaia di account email nel tempo.
APT28, conosciuto anche con altri nomi come Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (precedentemente noto come Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422, è attivo dal 2009 ed è operato dal servizio di intelligence militare russo GRU. Il gruppo ha una storia di orchestrazione di attacchi spear-phishing contenenti allegati malevoli o compromessi web strategici per attivare le catene di infezione.
In particolare, APT28 è stato implicato in attacchi che sfruttavano vulnerabilità corrette nei dispositivi di rete Cisco per condurre attività di ricognizione e distribuire malware contro obiettivi selezionati. Nel dicembre dello scorso anno, il gruppo ha attirato l’attenzione per aver sfruttato una vulnerabilità di escalation dei privilegi in Microsoft Outlook e WinRAR per accedere all’hash Net-NTLMv2 di un utente e usarlo per eseguire un attacco NTLM Relay contro un altro servizio per autenticarsi come l’utente.
APT28 ha utilizzato esche legate al conflitto in corso tra Israele e Hamas per facilitare la consegna di un backdoor personalizzato chiamato HeadLace, colpendo entità governative ucraine e organizzazioni polacche con messaggi di phishing progettati per distribuire backdoor e software per il furto di informazioni come OCEANMAP, MASEPIE e STEELHOOK.
Il gruppo continua a migliorare il proprio playbook operativo, affinando e adattando i propri approcci per evitare il rilevamento, inclusa l’aggiunta di strati di anonimizzazione come servizi VPN, Tor, indirizzi IP di data center e router EdgeOS compromessi per eseguire attività di scansione e sondaggio.