Пешковий шторм (також APT28 або Forest Blizzard) — це група акторів APT, які характеризуються постійним повторенням своїх тактик, прийомів і процедур (TTP).
Група відома тим, що все ще використовує свої десятилітні фішингові кампанії електронної пошти, націлені на цільові цілі високої вартості по всьому світу. Хоча методи кампанії та інфраструктура поступово змінюються з часом, вони все ще надають цінну інформацію про інфраструктуру Pawn Storm, включно з тією, що використовується в більш складних кампаніях.
Trend Micro відстежувала діяльність Pawn Storm у період з квітня 2022 року по листопад 2023 року: протягом цього часу Pawn Storm намагався запустити хеш-релейні атаки NTLMv2 різними методами. Одержувачі зловмисних фішингових кампаній включають зовнішньополітичні, енергетичні, оборонні та транспортні організації. Група також націлилася на організації, що займаються питаннями праці, соціального забезпечення, фінансів і виховання дітей, і навіть місцеві міські органи влади, центральний банк, суди та пожежну службу військового підрозділу країни.
Витончені атаки
Очевидна відсутність витонченості не обов’язково означає, що зловмисники не досягли успіху або що кампанії не є витонченими. Навпаки, є чіткі докази того, що Pawn Storm з часом зламав тисячі облікових записів електронної пошти, причому деякі з цих, здавалося б, повторюваних атак були вміло розроблені та замасковані. Деякі також використовують складні TTP. «Шум» повторюваних, часто жорстких і агресивних кампаній заглушає тишу, тонкість і складність початкового вторгнення, а також дії після експлуатації, які можуть мати місце, коли зловмисники закріпляться в організаціях жертв.
Фейке Хакеборд, старший дослідник загроз у Trend Micro, класифікує діяльність групи: Pawn Storm розпочала фішингову кампанію проти різних урядів Європи з 29 листопада по 11 грудня 2023 року. Ми можемо пов’язати цю кампанію з деякими кампаніями хеш-ретрансляції Net-NTLMv2 за допомогою технічних індикаторів. Наприклад, в обох кампаніях використовувалося одне й те саме ім’я комп’ютера. Він також використовувався для надсилання фішингових електронних листів і створення файлів LNK, які використовуються в деяких кампаніях хеш-ретрансляції Net-NTLMv2.
Більше на TrendMicro.com
Про Trend Micro Як один із провідних світових постачальників ІТ-безпеки, Trend Micro допомагає створити безпечний світ для обміну цифровими даними. Завдяки більш ніж 30-річному досвіду в галузі безпеки, глобальним дослідженням загроз і постійним інноваціям Trend Micro пропонує захист для компаній, державних установ і споживачів. Завдяки нашій стратегії безпеки XGen™ наші рішення отримують переваги від поєднання методів захисту між поколіннями, оптимізованих для передових середовищ. Інформація про мережеві загрози забезпечує кращий і швидший захист. Оптимізовані для хмарних робочих навантажень, кінцевих точок, електронної пошти, Інтернету речей і мереж, наші підключені рішення забезпечують централізовану видимість у всьому підприємстві для швидшого виявлення загроз і реагування.
Статті по темі