Pawn Storm是一种高级持续性威胁(APT)攻击者,也被称为APT28,至少从2004年起就开始针对全球高价值实体使用一系列技术。
尽管依靠看似过时的方法,比如十年前的网络钓鱼活动,但该组织仍在继续破坏数千个电子邮件帐户。
根据趋势科技研究员Feike Hacquebord和Fernando Merces发布的一份报告,该组织最近参与了Net-NTLMv2散列中继攻击,试图强行进入全球的政府、国防和军事网络。
据报道,在2022年4月至2023年11月期间,Pawn Storm专注于发动NTLMv2哈希中继攻击,目标是处理外交、能源、国防、交通和其他各个部门的政府部门。
该组织活跃于欧洲、北美、南美、亚洲、非洲和中东。它通过修改受害者邮箱中的文件夹权限来展示持久性,从而实现横向移动。
近年来,典当风暴加强了行动安全,逐渐改变了战术。自2019年以来,针对邮件服务器和企业VPN服务的暴力凭证攻击很常见。
近年来,该组织还使用了匿名层,如VPN服务、Tor、受损的EdgeOS路由器和免费服务,如URL缩短器。匿名层的使用扩展到通过Tor或VPN出口节点访问的受损电子邮件帐户发送的鱼叉式网络钓鱼邮件。
一个严重的漏洞,CVE-2023-23397,于2023年3月修补,允许Pawn Storm对Outlook用户进行散列中继攻击。利用这个漏洞,该组织发送恶意日历邀请,触发了Net-NTLMv2哈希中继攻击。
该活动一直持续到2023年8月,使用了更复杂的方法,包括在Mockbin上托管脚本和将URL重定向到免费网络托管域名上的PHP脚本。
Pawn Storm的多样化包括使用WinRAR漏洞CVE-2023-38831进行散列中继攻击。2023年底,一场凭据网络钓鱼活动利用webhook攻击了欧洲政府。站点URL和VPN IP地址。
2022年10月,Pawn Storm雇佣了一名没有指挥与控制(C2)服务器的信息窃取者。这种粗糙但有效的方法是将窃取的文件上传到一个免费的文件共享服务,使用缩短的URL进行访问。
在趋势科技的报告中,Hacquebord和Merces警告称,尽管Pawn Storm已有20年的历史,但它仍然具有侵略性,在采用先进和隐蔽的方法的同时,还采用了响亮和侵略性的战术。网络防御者被敦促利用研究中提供的妥协指标来加强他们对Pawn Storm持续威胁的安全性。
188
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
