Pawn Storm (auch APT28 oder Forest Blizzard) ist eine Gruppe von APT-Akteuren, die sich durch beharrliche Wiederholungen in ihren Taktiken, Techniken und Verfahren (TTPs) auszeichnet.
Die Gruppe ist dafür bekannt, dass sie immer noch ihre zehn Jahre alten Phishing-E-Mail-Kampagnen einsetzt, die sich gegen hochrangige Ziele in der ganzen Welt richten. Obwohl sich die Methoden und die Infrastruktur der Kampagnen im Laufe der Zeit allmählich ändern, liefern sie immer noch wertvolle Informationen über die Infrastruktur von Pawn Storm, einschließlich derjenigen, die sie in fortgeschritteneren Kampagnen verwenden.
Trend Micro hat dazu die Aktivitäten Pawn Storms zwischen April 2022 bis November 2023 verfolgt: In dieser Zeit versuchte Pawn Storm mit Hilfe verschiedener Methoden NTLMv2 Hash Relay-Angriffe zu starten. Zu den Empfängern der bösartigen Spear-Phishing-Kampagnen gehören Organisationen aus den Bereichen Außenpolitik, Energie, Verteidigung und Verkehr. Die Gruppe hatte es auch auf Organisationen abgesehen, die sich mit Arbeit, Sozialfürsorge, Finanzen und Elternschaft befassen, und sogar auf lokale Stadtverwaltungen, eine Zentralbank, Gerichte und die Feuerwehr einer militärischen Abteilung eines Landes.
Raffinierte Angriffe
Der scheinbare mangelnde Grad an Raffinesse bedeutet nicht unbedingt, dass die Täter nicht erfolgreich oder die Kampagnen nicht ausgereift sind. Im Gegenteil, es gibt eindeutige Hinweise darauf, dass Pawn Storm im Laufe der Zeit Tausende von Mail-Konten kompromittiert hat, wobei einige dieser sich scheinbar wiederholenden Angriffe raffiniert konzipiert und getarnt sind. Einige verwenden auch hochentwickelte TTPs. Der „Lärm“ der sich wiederholenden, oft plumpen und aggressiven Kampagnen übertönt die Stille, die Subtilität und die Komplexität des ersten Eindringens sowie die Aktionen, die nach der Ausnutzung stattfinden können, sobald die Eindringlinge in den Organisationen der Opfer Fuß gefasst haben
Feike Hacquebord, Senior Threat Researcher bei Trend Micro, ordnet die Aktivitäten der Gruppe ein: Pawn Storm startete vom 29. November bis zum 11. Dezember 2023 eine Phishing-Kampagne gegen verschiedene Regierungen in Europa. Wir können diese Kampagne anhand technischer Indikatoren mit einigen der Net-NTLMv2-Hash-Relay-Kampagnen in Verbindung bringen. So wurde beispielsweise in beiden Kampagnen derselbe Computername verwendet. Er wurde auch zum Versenden von Spear-Phishing-Mails und zum Erstellen von LNK-Dateien verwendet, die in einigen der Net-NTLMv2-Hash-Relay-Kampagnen eingesetzt wurden.
Mehr bei TrendMicro.com
Über Trend Micro Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..
Passende Artikel zum Thema