ГигаЧат кратко объясняет суть статьи
Хакерская группировка APT28 (Fancy Bear), предположительно связанная с Россией, провела кибератаку на американскую компанию, использовав новую методику «атаки ближайшего соседа». Вначале злоумышленники применили тактику «распыления паролей» для получения доступа к корпоративной Wi-Fi-сети, однако столкнулись с многофакторной аутентификацией. Затем они взломали другие организации поблизости, чтобы найти устройства, позволяющие подключиться к нужной сети. Через найденное устройство в радиусе действия трёх точек Wi-Fi компании-жертвы хакеры получили доступ к её сетям, используя непривилегированную учетную запись и встроенные инструменты Windows. Для повышения прав использовалась уязвимость нулевого дня CVE-2022-38028 в службе Windows Print Spooler. Злоумышленники собирали данные, включая ветви реестра Windows, и эксфильтрировали их в сжатом виде.
Российские хакеры проникли в американскую компанию через корпоративную сеть Wi-Fi, находясь за тысячи километров от неё, сообщает BleepingComputer.
Речь о хакерах из группировки APT28, также известной как Fancy Bear. Западные СМИ связывают её с Россией. Утверждается, что для атаки, которую обнаружили ещё в феврале 2022 года, они использовали новую технику под названием «атака ближайшего соседа».
Тогда компания Volexity, занимающаяся кибербезопасностью, обнаружила взлом сервера на объекте заказчика в Вашингтоне, который выполнял работу над проектами, связанными с Украиной.
- Для начала хакеры получили учётные данные для доступа к корпоративной Wi-Fi-сети компании-жертвы при помощи атак с «распылением паролей», направленных на публичный сервис жертвы.
«Распыление паролей» — это тактика кибератак, при которой хакер использует один пароль для взлома нескольких учётных записей. Такой вид «грубой» атаки зачастую предполагает использование общераспространённых паролей.
- Они не смогли использовать учётные данные к публичной сети из-за многофакторной аутентификации, поэтому начали искать организации в соседних зданиях, которые могли бы послужить отправной точкой к целевой беспроводной сети.
- Идея в компрометации другой организации и поиске в её сети устройств, которые позволили бы подключиться через их адаптер к корпоративной сети Wi-Fi компании-жертвы. В пример приводятся ноутбуки или роутеры.
В результате было установлено, что APT28 скомпрометировала несколько организаций, последовательно подключаясь к ним при помощи актуальных учётных данных доступа.
Хакерам по итогу удалось обнаружить устройство в нужном диапазоне, которое и позволило подключиться к трём точкам Wi-Fi у окон конференц-зала компании-жертвы:
Используя подключение к удалённому рабочему столу с непривилегированной учётной записью, угрожающий агент смог перемещаться по сети цели в поисках интересующих его систем и для утечки данных.
Хакеры запускали файл servtask.bat для дампа ветвей реестра Windows (SAM, Security и System), сжимая их в ZIP-архив для последующей эксфильтрации.
Злоумышленники в основном использовали встроенные инструменты Windows, чтобы свести к минимуму свой след во время сбора данных.
Эксперты Volexity не смогли приписать атаку русских хакеров каким-либо известным субъектам угроз. Но исходя из отчётов Microsoft, в атаке содержались индикаторы компрометации, совпадающие с наблюдениями Volexity:
Основываясь на деталях отчёта Microsoft, можно предположить, что APT28 смогла повысить привилегии перед запуском критической полезной нагрузки, используя уязвимость нулевого дня CVE-2022-38028 в службе Windows Print Spooler
Читать первым в Telegram-канале «Код Дурова»
