- 9,412
- 18
- 8 Ноя 2022
Trend Micro выявила новые тенденции в скрытных атаках группы.
В Для просмотра ссылки Войдиили Зарегистрируйся Trend Micro рассказывается о действиях киберпреступной группы Pawn Storm, которая занимается хакерскими атаками на важные мировые организации с 2004 года, используя разнообразные методы. Несмотря на кажущуюся устарелость методов, включая фишинговые кампании, которые ведутся уже на протяжении десятилетия, Pawn Storm продолжает успешно взламывать тысячи электронных почт.
Trend Micro утверждает, что недавно группа перешла на атаки с помощью хэшей Net-NTLMv2 , пытаясь проникнуть в сети правительственных, оборонных и военных организаций по всему миру. Группа демонстрировала свою активность в Европе, Северной и Южной Америке, Азии, Африке и на Ближнем Востоке. Хакеры проявляли настойчивость, изменяя разрешения папок в почтовых ящиках жертв, что позволяло им перемещаться по сети.
С 2019 года киберпреступники часто применяли методы брутфорса для взлома почтовых серверов и корпоративных VPN -сервисов. Группа также использовала способы анонимизации, такие как VPN-сервисы, сети Tor , взломанные маршрутизаторы EdgeOS и бесплатные сервисы, например, сервис сокращения URL -ссылок. Анонимизация распространялась и на фишинговые письма, отправленные со скомпрометированных email-аккаунтов через Tor или VPN.
Критическая уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS: 9,8), Для просмотра ссылки Войди или Зарегистрируйся в марте 2023 года, позволила Pawn Storm проводить Relay-атаки на пользователей Outlook. С помощью недостатка группа отправляла специальные приглашения в календаре, инициируя атаку Net-NTLMv2. Кампания продолжалась до августа 2023 года, становясь всё более изощренной с использованием скриптов, размещенных на Mockbin и URL, перенаправляющих на PHP-скрипты на бесплатных доменах веб-хостинга.
Pawn Storm также использовала уязвимость WinRAR Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS: 7.8) для Relay-атак. В конце 2023 года хакеры провели фишинговую кампанию по краже учетных данных, нацеленную на правительства европейских стран, используя URL-адреса «webhook[.]site" и IP-адреса VPN. Кроме Pawn Storm, Для просмотра ссылки Войди или Зарегистрируйся несколько других APT-групп атаковали 130 организаций, успешно завладев фондами трейдеров.
В октябре 2022 года Pawn Storm также использовала инфостилер без соединения с сервером управления и контроля (Command and Control, C2 ). Такой простой, но эффективный метод включал загрузку украденных файлов на бесплатный файлообменник, используя сокращенные URL для доступа.
В марте 2023 года команда безопасности Microsoft Для просмотра ссылки Войдиили Зарегистрируйся в Microsoft Outlook. Отслеживаемая под идентификатором CVE-2023-23397 ошибка позволяет злоумышленникам похищать хеши Net-NTLMv2 и получать доступ к аккаунтам пользователей. Особую опасность в себе таит специально подготовленное электронное сообщение, при открытии которого хеш Net-NTLMv2 пользователя передаётся атакующему.
В Для просмотра ссылки Войди
Trend Micro утверждает, что недавно группа перешла на атаки с помощью хэшей Net-NTLMv2 , пытаясь проникнуть в сети правительственных, оборонных и военных организаций по всему миру. Группа демонстрировала свою активность в Европе, Северной и Южной Америке, Азии, Африке и на Ближнем Востоке. Хакеры проявляли настойчивость, изменяя разрешения папок в почтовых ящиках жертв, что позволяло им перемещаться по сети.
С 2019 года киберпреступники часто применяли методы брутфорса для взлома почтовых серверов и корпоративных VPN -сервисов. Группа также использовала способы анонимизации, такие как VPN-сервисы, сети Tor , взломанные маршрутизаторы EdgeOS и бесплатные сервисы, например, сервис сокращения URL -ссылок. Анонимизация распространялась и на фишинговые письма, отправленные со скомпрометированных email-аккаунтов через Tor или VPN.
Критическая уязвимость Для просмотра ссылки Войди
Pawn Storm также использовала уязвимость WinRAR Для просмотра ссылки Войди
В октябре 2022 года Pawn Storm также использовала инфостилер без соединения с сервером управления и контроля (Command and Control, C2 ). Такой простой, но эффективный метод включал загрузку украденных файлов на бесплатный файлообменник, используя сокращенные URL для доступа.
В марте 2023 года команда безопасности Microsoft Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
