Pawn Storm (também APT28 ou Forest Blizzard) é um grupo de atores APT caracterizados pela repetição persistente em suas táticas, técnicas e procedimentos (TTPs).
O grupo é conhecido por ainda usar campanhas de phishing por e-mail de uma década visando alvos de alto valor em todo o mundo. Embora os métodos e a infraestrutura de campanha mudem gradualmente ao longo do tempo, eles ainda fornecem informações valiosas sobre a infraestrutura do Pawn Storm, incluindo aquelas usadas em campanhas mais avançadas.
A Trend Micro acompanhou as atividades do Pawn Storm entre abril de 2022 e novembro de 2023: Durante esse período, o Pawn Storm tentou lançar ataques de retransmissão de hash NTLMv2 usando vários métodos. Os destinatários das campanhas maliciosas de spear phishing incluem organizações de política externa, energia, defesa e transporte. O grupo também tinha como alvo organizações que lidam com trabalho, assistência social, finanças e parentalidade, e até mesmo governos municipais locais, um banco central, tribunais e o corpo de bombeiros do ramo militar de um país.
Ataques sofisticados
A aparente falta de sofisticação não significa necessariamente que os perpetradores não tenham sucesso ou que as campanhas não sejam sofisticadas. Pelo contrário, há provas claras de que o Pawn Storm comprometeu milhares de contas de e-mail ao longo do tempo, com alguns destes ataques aparentemente repetitivos a serem inteligentemente concebidos e disfarçados. Alguns também usam TTPs sofisticados. O “ruído” de campanhas repetitivas, muitas vezes pesadas e agressivas, abafa o silêncio, a subtileza e a complexidade da intrusão inicial, bem como as ações pós-exploração que podem ocorrer quando os intrusos ganham uma posição nas organizações das vítimas.
Feike Hacquebord, pesquisador sênior de ameaças da Trend Micro, classifica as atividades do grupo: Pawn Storm lançou uma campanha de phishing contra vários governos na Europa de 29 de novembro a 11 de dezembro de 2023. Podemos associar esta campanha a algumas das campanhas de hash relay Net-NTLMv2 usando indicadores técnicos. Por exemplo, o mesmo nome de computador foi usado em ambas as campanhas. Também foi usado para enviar e-mails de spear phishing e criar arquivos LNK usados em algumas das campanhas de retransmissão de hash Net-NTLMv2.
Mais em TrendMicro.com
Sobre a Trend Micro Como um dos principais fornecedores mundiais de segurança de TI, a Trend Micro ajuda a criar um mundo seguro para a troca de dados digitais. Com mais de 30 anos de experiência em segurança, pesquisa de ameaças globais e inovação constante, a Trend Micro oferece proteção para empresas, agências governamentais e consumidores. Graças à nossa estratégia de segurança XGen™, nossas soluções se beneficiam de uma combinação entre gerações de técnicas de defesa otimizadas para ambientes de ponta. As informações sobre ameaças em rede permitem uma proteção melhor e mais rápida. Otimizadas para cargas de trabalho em nuvem, endpoints, e-mail, IIoT e redes, nossas soluções conectadas fornecem visibilidade centralizada em toda a empresa para detecção e resposta mais rápidas a ameaças.
Artigos relacionados ao tema