Pawn Storm (también APT28 o Forest Blizzard) es un grupo de actores APT caracterizados por la repetición persistente en sus tácticas, técnicas y procedimientos (TTP).
El grupo es conocido por seguir utilizando sus campañas de correo electrónico de phishing de una década de antigüedad dirigidas a objetivos de alto valor en todo el mundo. Aunque los métodos y la infraestructura de las campañas cambian gradualmente con el tiempo, aún brindan información valiosa sobre la infraestructura de Pawn Storm, incluidas aquellas utilizadas en campañas más avanzadas.
Trend Micro rastreó las actividades de Pawn Storm entre abril de 2022 y noviembre de 2023: durante este tiempo, Pawn Storm intentó lanzar ataques de retransmisión hash NTLMv2 utilizando varios métodos. Los destinatarios de las campañas maliciosas de phishing incluyen organizaciones de política exterior, energía, defensa y transporte. El grupo también apuntó a organizaciones que se ocupan del trabajo, el bienestar social, las finanzas y la crianza de los hijos, e incluso a los gobiernos municipales locales, un banco central, los tribunales y el departamento de bomberos de la rama militar de un país.
Ataques sofisticados
La aparente falta de sofisticación no significa necesariamente que los perpetradores no tengan éxito o que las campañas no sean sofisticadas. Por el contrario, hay pruebas claras de que Pawn Storm ha comprometido miles de cuentas de correo electrónico a lo largo del tiempo, y algunos de estos ataques aparentemente repetitivos están inteligentemente diseñados y disfrazados. Algunos también utilizan TTP sofisticados. El “ruido” de campañas repetitivas, a menudo duras y agresivas ahoga el silencio, la sutileza y la complejidad de la intrusión inicial, así como las acciones posteriores a la explotación que pueden tener lugar una vez que los intrusos se afianzan en las organizaciones de víctimas.
Feike Hacquebord, investigador senior de amenazas en Trend Micro, clasifica las actividades del grupo: Pawn Storm lanzó una campaña de phishing contra varios gobiernos en Europa del 29 de noviembre al 11 de diciembre de 2023. Podemos asociar esta campaña con algunas de las campañas de retransmisión de hash Net-NTLMv2 utilizando indicadores técnicos. Por ejemplo, se utilizó el mismo nombre de computadora en ambas campañas. También se utilizó para enviar correos electrónicos de phishing y crear archivos LNK utilizados en algunas de las campañas de retransmisión de hash Net-NTLMv2.
Más en TrendMicro.com
Acerca de Trend Micro Como uno de los principales proveedores de seguridad de TI del mundo, Trend Micro ayuda a crear un mundo seguro para el intercambio de datos digitales. Con más de 30 años de experiencia en seguridad, investigación de amenazas globales e innovación constante, Trend Micro ofrece protección para empresas, agencias gubernamentales y consumidores. Gracias a nuestra estrategia de seguridad XGen™, nuestras soluciones se benefician de una combinación intergeneracional de técnicas de defensa optimizadas para entornos de vanguardia. La información de amenazas en red permite una protección mejor y más rápida. Optimizadas para cargas de trabajo en la nube, terminales, correo electrónico, IIoT y redes, nuestras soluciones conectadas brindan visibilidad centralizada en toda la empresa para una detección y respuesta más rápidas a las amenazas.
Artículos relacionados con el tema