APT und gezielte Angriffe
Pawn Storm mit plumpen doch subtilen Angriffen
Die APT-Akteure von Pawn Storm nutzen vordergründig immer wieder dieselben Techniken und Phishing-Kampagnen, doch verdecken diese die Subtilität und Komplexität der Angriffe. Eine technische Analyse einiger neuer und aktualisierter Techniken.
Pawn Storm (auch bekannt als APT28 und Forest Blizzard) ist eine Gruppe von Advanced Persistent Threats (APT)-Akteuren, charakterisiert durch beharrliche Wiederholungen in ihren Taktiken, Techniken und Verfahren (TTPs). In einigen der Kampagnen setzen sie immer wieder dieselbe Art von technischen Tricks ein und nehmen manchmal Hunderte von Personen in einer einzigen Organisation gleichzeitig ins Visier.
Die Gruppe ist dafür bekannt, dass sie immer noch ihre zehn Jahre alten Phishing-E-Mail-Kampagnen einsetzt, die sich gegen hochrangige Ziele in der ganzen Welt richten. Obwohl sich die Methoden und die Infrastruktur der Kampagnen im Laufe der Zeit allmählich ändern, liefern sie immer noch wertvolle Informationen über die Infrastruktur von Pawn Storm, einschließlich derjenigen, die sie in fortgeschritteneren Kampagnen verwenden.
Brute Force und Tarnung
Dieser scheinbare mangelnde Grad an Raffinesse bedeutet nicht unbedingt, dass die Täter nicht erfolgreich oder die Kampagnen nicht ausgereift sind. Im Gegenteil, es gibt eindeutige Hinweise darauf, dass Pawn Storm im Laufe der Zeit Tausende von Mail-Konten kompromittiert hat, wobei einige dieser sich scheinbar wiederholenden Angriffe raffiniert konzipiert und getarnt sind. Einige verwenden auch hochentwickelte TTPs. Der „Lärm“ der sich wiederholenden, oft plumpen und aggressiven Kampagnen übertönt die Stille, die Subtilität und die Komplexität des ersten Eindringens sowie die Aktionen, die nach der Ausnutzung stattfinden können, sobald die Eindringlinge in den Organisationen der Opfer Fuß gefasst haben
Unserer Einschätzung nach, versuchte Pawn Storm zwischen April 2022 bis zum November 2023 mit Hilfe verschiedener Methoden NTLMv2 Hash Relay-Angriffe zu starten. Dabei gab es hohe Spitzenwerte bei der Anzahl der Ziele und Unterschiede bei den angegriffenen Regierungsstellen. Zu den Empfängern der bösartigen Spear-Phishing-Kampagnen gehören Organisationen aus den Bereichen Außenpolitik, Energie, Verteidigung und Verkehr. Die Gruppe hatte es auch auf Organisationen abgesehen, die sich mit Arbeit, Sozialfürsorge, Finanzen und Elternschaft befassen, und sogar auf lokale Stadtverwaltungen, eine Zentralbank, Gerichte und die Feuerwehr einer militärischen Abteilung eines Landes.
Wir nehmen an, dass diese Versuche von Net-NTLMv2-Angriffen Pawn Storms kosteneffizienter Methode zur Automatisierung von Brute-Force-Versuchen entsprechen, um in die Netzwerke von Regierungen, der Verteidigungsindustrie und der Streitkräfte auf der ganzen Welt einzudringen.
Darüber hinaus verbergen die ständigen Attacken auf Regierungen, die Logistik und die Verteidigungsindustrie in mehreren Regionen den fortgeschritteneren Teil der Angriffe, wie sie das polnische Verteidigungsministerium und Microsoft in jüngsten Blog-Beiträgen beschrieben haben. Zu den Post-Exploitation-Aktivitäten der Gruppe gehört die Änderung von Ordnerberechtigungen im Postfach des Opfers, um mehr Persistenz zu erreichen. Unter Verwendung der Mail-Konten des Opfers sind laterale Bewegungen möglich, indem zusätzliche bösartige Mail-Nachrichten von der Organisation des Opfers aus gesendet werden.
Zu den Zielen der Gruppe gehört eine breite Palette von Organisationen aus der Regierung, der Verteidigungsindustrie, dem Energie- und Transportsektor sowie dem Militär. Unseren Telemetriedaten zufolge befanden sich die Ziele in Europa, Nordamerika, Südamerika, Asien, Afrika und im Nahen Osten.
Beschreibung des Ziels |
Region |
Militär |
Europa, Südamerika |
Zentralbank |
Mittlerer Osten |
Stadverwaltung |
Asien, Europa, Mittlerer Osten, Nordamerika, Afrika |
Verteidigungsindustrie |
Europa , Nordamerika, Südamerika |
Luftfahrt |
Europa |
Elektrizitätsbehörde |
Europa, Mittlerer Osten |
Energiesektor |
Europa |
Behörde für geistiges Eigentum |
Mittlerer Osten |
Landwirtschaftsministerium |
Europa, Südamerika |
Energieministerium |
Europa |
Umweltministerium |
Europa |
Finanzministerium |
Europa , Südamerika |
Außenministerium |
Europa, Mittlerer Osten, Asien |
Ministerium des Innern |
Europa |
Arbeitsministerium |
Europa, Asien |
Ministerium für nationale Sicherheit |
Europa |
Ministerium für soziale Angelegenheiten |
Europa, Mittlerer Osten |
Verkehrsministerium |
Europa |
Pariament |
Europa |
Postdienste |
Europa |
Abteilung Präsidentschaft |
Europa |
Landesregierung |
Nordamerika |
Tabelle 1. Pawn Storms Ziele bei den jüngsten Kampagnen nach Trend Micro Telemetriedaten
Pawn Storm ist seit mindestens 2004 aktiv und hat sich in den letzten Jahren verstärkt auf die operative Sicherheit konzentriert.
Eine der gängigsten Methoden der Akteure sind Brute-Force-Angriffe auf Anmeldeinformationen. Seit 2019 versuchen sie, sich durch Brute-Force-Angriffe Zugang zu Mail-Servern und den VPN-Diensten von Unternehmen auf der ganzen Welt zu verschaffen.
Wir glauben, dass Pawn Storm mit ihren Kampagnen Erfolg hatte. Um ihre Spuren zu verwischen, wird eine breite Palette von Tools eingesetzt, unter anderem VPN Services, Tor, IP-Adressen von Rechenzentren und kompromittierte EdgeOS-Router, die wahrscheinlich auch von anderen finanziell motivierten Cyberkriminellen verwendet werden. Darüber hinaus hat die Gruppe zahlreiche Mail-Konten auf der ganzen Welt kompromittiert und nutzt sie als Ausgangspunkt für Spearphishing-E-Mails. Zum Repertoire gehören schließlich auch kostenlose Services wie URL-Shortener, kostenlose File-Hosting-Dienste und kostenlose Mail-Dienste.
Anonymisierungsschichten
Seit mindestens 2019 sondiert die Gruppe Microsoft Outlook-Server und VPN-Server von Unternehmen in verschiedenen Regionen, wahrscheinlich um mit Brute-Force-Methoden auf Unternehmens- und Regierungskonten zuzugreifen. Während dieser Zeit wurden diese Sondierungen von Rechenzentrumsservern aus durchgeführt, die wir zuvor mit Pawn Storm in Verbindung gebracht hatten.
Seit 2020 wurden weitere Anonymisierungsschichten eingerichtet (einschließlich Tor und kommerzielle VPN-Netzwerke), um mit dem Scannen und Sondieren weiterzumachen. Dies ist auch in den Spear-Phishing-Mails der Gruppe in den letzten Jahren zu beobachten. Häufig wurden die Spear-Phishing-Mails von kompromittierten Konten im Mittleren Osten und in Asien verschickt, auf die über IMAP (Internet Message Access Protocol) von Tor- oder VPN-Ausgangsknoten aus zugegriffen wurde. Wir konnten die Daten der französischen Cybersicherheitsbehörde (ANSSI) mit unseren eigenen kombinieren und zählten mehr als ein Dutzend verschiedene VPN Services, die von Pawn Storm in den Jahren 2022 und 2023 genutzt wurden. Eine Übersicht dazu beinhaltet der Originalbeitrag.
Die Akteure verwendeten auch EdgeOS-Router, um Spear-Phishing-Mails zu versenden, Callbacks von CVE-2023-23397-Exploits in Outlook auszuführen und den Proxy-Diebstahl von Anmeldedaten auf Phishing Websites zu ermöglichen. Auf vielen dieser EdgeOS-Router scheinen Implants zu existieren, z. B. die Python-basierten Webserver-Gateway-Schnittstellen Waitress und Werkzeug und andere mehr. Ob Pawn Storm die Router selbst kompromittiert hat oder bereits kompromittierte verwendet, ist nicht klar.
Mehrere der EdgeOS-Router sind Quellen für Pharma- und Dating-Spam, SSH-Brute-Force-Angriffe und andere Arten von Missbrauch.
Net-NTMLv2 Hash-Relay-Angriff
Im März 2023 wurde die kritische Sicherheitslücke CVE-2023-23397 in Outlook gepatcht. Diese Schwachstelle, die für Angreifer wenig anspruchsvoll ist und keine Benutzerinteraktion erfordert, betraf alle Versionen der Outlook-App. Bei dem Angriff wird eine Mail-Nachricht mit einer erweiterten MAPI-Property (Message Application Program Interface) an einen vom Angreifer kontrollierten SMB-Server (über TCP 445) gesendet. Der Täter sendet eine bösartige Kalendereinladung im Format .msg, um den anfälligen API-Endpunkt PlayReminderSound zu triggern.
Wenn das Opfer eine Verbindung zum SMB-Server des Angreifers herstellt, sendet die Verbindung zum Remote-Server die NTLM-Protokollaushandlungsnachricht des Benutzers mit dem Net-NTLMv2-Hash, den der Angreifer zur Authentifizierung gegenüber anderen Systemen verwenden kann. Dieser Angriff ist als Hash-Relay-Angriff bekannt. Damit dies funktioniert, muss der Angreifer die Aushandlungsnachricht weiterleiten, nachdem er sie vom Rechner des Opfers erhalten hat. Mögliche Ziele sind Microsoft Exchange Server aus derselben Organisation und Domäne. Angreifer können diese Hashes auch speichern und versuchen, sie zu knacken, um das Klartextkennwort abzurufen, aber dieser Prozess hängt stark von der Komplexität und Länge des Kennworts ab, wenn es sich um Wörterbuch- und Brute-Force-Angriffe handelt.
Es scheint, dass Pawn Storm diese Schwachstelle schon genutzt hat, als sie noch ein Zero-Day war (etwa im April 2022). Diese Kampagnen dauerten mindestens bis Ende August 2023. Ab April 2023 wurden die Angriffsmethoden aufwändiger. Weitere technische Einzelheiten zu diesem Angriff umfasst der Originalbeitrag.
Bei VirusTotal hochgeladene Dateien deuten darauf hin, dass es weitere Varianten davon gab.
Aktuelle Phishing-Kampagne für Zugangsdaten
Pawn Storm startete vom 29. November bis zum 11. Dezember 2023 eine Phishing-Kampagne gegen verschiedene Regierungen in Europa. Wir können diese Kampagne anhand technischer Indikatoren mit einigen der Net-NTLMv2-Hash-Relay-Kampagnen in Verbindung bringen. So wurde beispielsweise in beiden Kampagnen derselbe Computername verwendet. Er wurde auch zum Versenden von Spear-Phishing-Mails und zum Erstellen von LNK-Dateien verwendet, die in einigen der Net-NTLMv2-Hash-Relay-Kampagnen eingesetzt wurden.
Informationsdiebstahl ohne C&C-Server
Im Oktober 2022 verschickte Pawn Storm Spear-Phishing-Mails an eine Reihe ausgewählter Organisationen, darunter Botschaften und andere hochrangige Ziele. Diese Mails enthielten einen einfachen und kleinen Info Stealer als Anhang ohne einen Command-and-Control-Server (C&C) dahinter. Dieser sucht in regelmäßigen Abständen nach bestimmten Dateien, etwa .pdf, .docx, .doc, .xlsx und andere und lädt sie nacheinander mit einer HTTP-PUT-Anfrage auf einen kostenlosen File-Sharing-Dienst, free.keep.sh, hoch. Für jede gesendete Datei antwortet keep.sh mit einer URL, um auf die Datei zuzugreifen. Weitere technische Einzelheiten zum Ablauf beinhaltet der Originalbeitrag.
Fazit
Obwohl Pawn Storm bereits seit zwei Jahrzehnten aktiv ist, hat sich die Gruppe ihre Aggressivität und Entschlossenheit bewahrt und greift Netzwerke und Mails hochrangiger Ziele auf der ganzen Welt an. Mindestens seit 2019 nutzten sie Brute-Force-Angriffe (zunächst von dedizierten Servern aus und dann mit zusätzlichen Anonymisierungsschichten wie kommerziellen VPN-Diensten), Tor und eine Infrastruktur, die höchstwahrscheinlich auch andere Cyberkriminellen einsetzen. In letzter Zeit verwendet Pawn Storm fortschrittlichere und verstecktere Methoden.
Im Anhang finden Sie eine umfangreiche Liste von Indikatoren, mit deren Hilfe Netzwerkverteidiger überprüfen können, ob ihr Unternehmen Ziel eines Angriffs geworden ist. Obwohl Pawn Storm Shared IP-Adressen nutzt, wie z. B. kommerzielle VPN-Dienste und kompromittierte EdgeOS-Router, neigt die Gruppe dazu, dieselben VPN-Exit-Knoten Tage und sogar Wochen lang zu verwenden.
Die relativ langsam vor sich gehenden Änderungen in den TTPs können Verteidigern dabei helfen, die ersten Phasen einer Kompromittierung zu erkennen, selbst wenn der Bedrohungsakteur in den nachfolgenden Phasen fortschrittlichere Taktiken (und sogar Zero-Day-Schwachstellen) verwendet.