Взломанные роутеры Ubiquiti стали оружием группировки APT28 против госорганов Европы

Группировка APT28, также известная как Sofacy или Fancy Bear, продолжает использовать взломанные роутеры в качестве вредоносной инфраструктуры для атак на государственные организации в Европе и Кавказском регионе. Об этом сообщила украинская команда реагирования на компьютерные инциденты CERT-UA.

По данным исследователей, злоумышленники превращают легитимные, но скомпрометированные сетевые устройства Ubiquiti в обратные прокси, командные серверы (C2) и площадки для размещения файлов заражения. «Мы с высокой уверенностью считаем, что вредоносная инфраструктура, задействованная в этой кампании, построена преимущественно из легитимных скомпрометированных сетевых устройств Ubiquiti», — заявили в компании HarfangLab, чьи данные приводит издание Cybersecurity News.

Как устроена атака

Кампания начинается с классического целевого фишинга: злоумышленники рассылают письма с уже взломанных почтовых аккаунтов. Ссылки в письмах ведут на вредоносные страницы, где жертве показывают размытый предварительный просмотр документа и предлагают нажать кнопку, чтобы его открыть.

В качестве приманки использовались документы под разными названиями — от «Официальной информации Министерства обороны Азербайджана» и «Праздников и памятных дат Украины на 2024 год» до официального обращения польского госпредприятия водного хозяйства «Państwowe Gospodarstwo Wodne Wody Polskie» и украиноязычных «Рекомендацій робочих груп експертів до Стратегії освіти і науки України».

После клика по ссылке жертве показывают вполне легитимное окно проводника Windows, в котором спрятан LNK-файл, замаскированный под документ — с иконкой файла и двойным расширением. Если пользователь открывает этот ярлык, запускается вредоносный скрипт и интерпретатор Python, которые загружают и исполняют полезную нагрузку, одновременно показывая жертве фальшивый документ для отвода глаз.

Инструменты злоумышленников

Для атаки используется целый набор вредоносных программ:

  • STEELHOOK — похититель учётных данных;
  • MASEPIE — вредоносный скрипт на Python, который запускается сразу после открытия LNK-файла и обеспечивает базовое удалённое выполнение команд и передачу файлов на заражённых системах;
  • OCEANMAP — вредоносная программа на C#.NET, использующая электронную почту как канал управления (C2) и позволяющая удалённо выполнять команды на целевых компьютерах; исследователи пока не смогли однозначно связать её с этой конкретной кампанией, но предполагают, что она может применяться как второй этап заражения после MASEPIE;
  • Impacket — общедоступный инструмент для разведки в сети и сбора учётных данных.

Кто стоит за атаками

Исследователи делают вывод со средней и высокой степенью уверенности, что кампания проводится в интересах российских целей, хотя не исключают, что за ней могут стоять негосударственные группы или структуры, не связанные напрямую с Россией.

Случай примечателен тем, что в качестве инфраструктуры атакующие используют не арендованные серверы, а обычные домашние и офисные роутеры Ubiquiti, взломанные ранее и превращённые в звенья цепочки управления атакой. Это усложняет обнаружение и блокировку вредоносного трафика, поскольку он маскируется под активность обычных сетевых устройств.

Источник: Cybersecurity News.