Pawn Storm (anche APT28 o Forest Blizzard) è un gruppo di attori APT caratterizzati da una persistente ripetizione nelle loro tattiche, tecniche e procedure (TTP).
Il gruppo è noto per utilizzare ancora le sue campagne e-mail di phishing decennali rivolte a obiettivi di alto valore in tutto il mondo. Sebbene i metodi e l'infrastruttura delle campagne cambino gradualmente nel tempo, forniscono comunque informazioni preziose sull'infrastruttura di Pawn Storm, comprese quelle utilizzate nelle campagne più avanzate.
Trend Micro ha monitorato le attività di Pawn Storm tra aprile 2022 e novembre 2023: durante questo periodo, Pawn Storm ha tentato di lanciare attacchi hash Relay NTLMv2 utilizzando vari metodi. Tra i destinatari delle campagne dannose di spear phishing figurano organizzazioni di politica estera, energia, difesa e trasporti. Il gruppo ha preso di mira anche organizzazioni che si occupano di lavoro, assistenza sociale, finanza e genitorialità, e persino le amministrazioni locali delle città, una banca centrale, i tribunali e i vigili del fuoco del ramo militare di un paese.
Attacchi sofisticati
L’apparente mancanza di sofisticatezza non significa necessariamente che gli autori non abbiano successo o che le campagne non siano sofisticate. Al contrario, ci sono prove evidenti che Pawn Storm abbia compromesso migliaia di account di posta elettronica nel corso del tempo, con alcuni di questi attacchi apparentemente ripetitivi abilmente progettati e mascherati. Alcuni utilizzano anche TTP sofisticati. Il “rumore” di campagne ripetitive, spesso pesanti e aggressive, soffoca il silenzio, la sottigliezza e la complessità dell’intrusione iniziale, così come le azioni post-sfruttamento che possono aver luogo una volta che gli intrusi hanno preso piede nelle organizzazioni delle vittime
Feike Hacquebord, Senior Threat Researcher presso Trend Micro, classifica le attività del gruppo: Pawn Storm ha lanciato una campagna di phishing contro vari governi in Europa dal 29 novembre all'11 dicembre 2023. Possiamo associare questa campagna ad alcune delle campagne di inoltro hash Net-NTLMv2 utilizzando indicatori tecnici. Ad esempio, in entrambe le campagne è stato utilizzato lo stesso nome di computer. È stato utilizzato anche per inviare e-mail di spear phishing e creare file LNK utilizzati in alcune campagne di inoltro hash Net-NTLMv2.
Altro su TrendMicro.com
Informazioni su TrendMicro In qualità di uno dei principali fornitori mondiali di sicurezza IT, Trend Micro contribuisce a creare un mondo sicuro per lo scambio di dati digitali. Con oltre 30 anni di esperienza nella sicurezza, ricerca sulle minacce globali e costante innovazione, Trend Micro offre protezione per aziende, agenzie governative e consumatori. Grazie alla nostra strategia di sicurezza XGen™, le nostre soluzioni beneficiano di una combinazione intergenerazionale di tecniche di difesa ottimizzate per ambienti all'avanguardia. Le informazioni sulle minacce in rete consentono una protezione migliore e più rapida. Ottimizzate per carichi di lavoro cloud, endpoint, e-mail, IIoT e reti, le nostre soluzioni connesse forniscono visibilità centralizzata in tutta l'azienda per un rilevamento e una risposta più rapidi alle minacce.
Articoli relativi all'argomento