El grupo de hackers llamado APT28 ha estado llevando a cabo ataques de relevación de hash NT LAN Manager (NTLM) v2, orientados a objetivos de alto valor desde abril de 2022 hasta noviembre de 2023 en todo el mundo. Según Trend Micro, estos ataques automatizados de fuerza bruta han comprometido potencialmente miles de cuentas de correo electrónico. Específicamente, las organizaciones que manejan asuntos extranjeros, energía, defensa y transporte, así como aquellas implicadas en el trabajo, el bienestar social, las finanzas, la paternidad y los consejos locales son los principales objetivos de APT28.
Se cree que APT28 es operado por el servicio de inteligencia militar GRU de Rusia y ha estado activo desde al menos 2009, orquestando ataques de spear-phishing y activando las cadenas de infección. El grupo es también conocido por otros nombres, como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (antes Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422.
APT28 ha utilizado diversas tácticas para evadir la detección, y ahora incluye capas de anonimización como servicios VPN, Tor, direcciones IP de centros de datos y routers EdgeOS comprometidos para realizar actividades de escaneo y sondeo. También comprometen cuentas de correo electrónico de usuarios de redes que les permiten enviar correos electrónicos adicionales maliciosos desde dentro de la organización objetivo.
Recientemente, el grupo ha llevado a cabo campañas de recolección de credenciales contra gobiernos europeos, utilizando páginas de inicio de sesión falsas que imitan a Microsoft Outlook alojadas en URLs webhook[.]site. Además, APT28 ha infectado al menos 100 routers EdgeOS y ha sido visto usando señuelos de guerra Israel-Hamas para distribuir una puerta trasera personalizada llamada HeadLace.
Es importante tener en cuenta que esta noticia señala un problema serio de ciberseguridad y resalta la necesidad de mejorar la detección y protección contra futuros ataques de APT28 y otros grupos similares.
Vía: The Hacker News
