Команда Amazon Threat Intelligence выявила, что спонсируемая российским государством группа кибершпионажа активизировала атаки на энергетические компании и поставщиков критически важной инфраструктуры (KRITIS).
Группа действует как минимум с 2021 года и в основном нацелена на неправильно сконфигурированные устройства. Однако злоумышленники также используют известные уязвимости, такие как CVE-2022-26318 в устройствах WatchGuard Firebox и XTM, CVE-2021-26084 и CVE-2023-22518 в Confluence, или CVE-2023-2753 в Veeam Backup.
Согласно данным телеметрии, собранным Amazon, в этом году группа сосредоточилась на неправильных конфигурациях, отказавшись от эксплойтов нулевого или N-дневного дня. Основными целями были корпоративные маршрутизаторы и инфраструктуры маршрутизации, VPN-концентраторы и шлюзы удаленного доступа, сетевые управляющие устройства, платформы для совместной работы и вики, а также облачные системы управления проектами.
«Такая тактическая адаптация позволяет достичь тех же операционных результатов, а именно сбора учетных данных и бокового перемещения в онлайн-сервисах и инфраструктурах жертв, одновременно снижая риск обнаружения и затраты ресурсов для злоумышленников», — заявляют специалисты по безопасности.
Связь с Sandworm и Curly COMrades
Данные телеметрии показывают пересечения в инфраструктуре группы с Sandworm, также известной как APT44 и Seashell Blizzard, связанной с российским военным разведывательным управлением ГРУ. Кроме того, существует связь с группой, чья деятельность ранее была задокументирована Bitdefender под названием Curly COMrades.
Однако это могут быть сотрудничающие подгруппы в рамках ГРУ: в то время как группа, отслеживаемая Amazon, обеспечивает первоначальный доступ и боковое перемещение, Curly COMrades обеспечивает устойчивость на хосте с помощью своих пользовательских вредоносных имплантатов CurlyShell и CurlCat.
Amazon обнаружила атаки на граничные сетевые устройства клиентов, размещенные на экземплярах AWS EC2. Злоумышленники устанавливали постоянные соединения через контролируемые ими IP-адреса, что указывает на интерактивный доступ к скомпрометированным устройствам.
Кража учетных данных
Исследователи безопасности также наблюдали атаки повторного использования учетных данных на другие онлайн-сервисы жертв, при которых украденные доменные учетные данные использовались после компрометации граничных сетевых устройств. Команда Amazon предполагает, что злоумышленники собирают учетные данные, используя функции скомпрометированных устройств для захвата и анализа трафика.
«Временной разрыв между компрометацией устройств и попытками аутентификации в сервисах жертв указывает скорее на пассивный сбор, чем на активную кражу учетных данных», — говорится в отчете об исследовании.
При перехвате сетевого трафика злоумышленники действуют аналогично Sandworm. Целенаправленное воздействие на граничные сетевые устройства позволяет им перехватывать учетные данные во время передачи.
Советы по защите для операторов KRITIS
Группа в основном сосредоточена на энергетическом секторе, включая MSSP (поставщиков управляемых услуг безопасности) с клиентами из сферы энергетики. Однако злоумышленники также нацелились на поставщиков технологических и облачных услуг, а также на телекоммуникационных операторов в нескольких регионах.
Amazon рекомендует компаниям проверять свои граничные сетевые устройства на наличие неавторизованных файлов или утилит для захвата пакетов. Также рекомендуется проверять конфигурации устройств, изолировать интерфейсы управления и внедрять многофакторную аутентификацию.
Кроме того, компании должны проверять протоколы аутентификации и отслеживать попытки аутентификации из неожиданных географических местоположений. Также рекомендуется внедрить обнаружение аномалий для шаблонов аутентификации для всех онлайн-сервисов. Следует контролировать использование протоколов в открытом тексте, которые могут раскрывать учетные данные во время передачи.
Отчет Amazon также содержит индикаторы компрометации, связанные с этой кампанией атак, а также конкретные рекомендации по безопасности, специально для сред AWS. (jm)
Автор – Lucian Constantin
