Fighting Ursa Aka APT28: Iluminando uma campanha secreta

Sumário executivo

No início deste ano, pesquisadores ucranianos de segurança cibernética descobriram que o Fighting Ursa aproveitava uma exploração de dia zero no Microsoft Outlook (agora conhecido como CVE-2023-23397). Esta vulnerabilidade é especialmente preocupante porque não requer interação do usuário para ser explorada. Os pesquisadores da Unidade 42 observaram este grupo usando CVE-2023-23397 nos últimos 20 meses para atingir pelo menos 30 organizações em 14 nações que provavelmente têm valor de inteligência estratégica para o governo russo e seus militares.

Durante este período, o Fighting Ursa realizou pelo menos duas campanhas com esta vulnerabilidade que foram tornadas públicas. A primeira ocorreu entre março-dezembro de 2022 e a segunda ocorreu em março de 2023.

Os pesquisadores da Unidade 42 descobriram uma terceira campanha recentemente ativa na qual o Fighting Ursa também usou essa vulnerabilidade. O grupo conduziu esta campanha mais recente entre setembro e outubro de 2023, visando pelo menos nove organizações em sete países.

Das 14 nações visadas nas três campanhas, todas são organizações de países membros da OTAN, com excepção de entidades na Ucrânia, na Jordânia e nos Emirados Árabes Unidos. Estas organizações incluíam infra-estruturas críticas e entidades que proporcionam uma vantagem informacional em assuntos diplomáticos, económicos e militares.

 

As organizações-alvo incluíam aquelas relacionadas a:

• Produção e distribuição de energia
• Operações de pipeline
• Material, pessoal e transporte aéreo
• Ministérios da Defesa
• Ministérios das Relações Exteriores
• Ministérios da Administração Interna
• Ministérios da Economia

Fighting Ursa (também conhecido como APT28, Fancy Bear, Strontium/Forest Blizzard, Pawn Storm, Sofacy ou Sednit) é um grupo associado à inteligência militar da Rússia e é bem conhecido pelo seu foco em alvos de interesse russo – especialmente aqueles de interesse militar. O combate à Ursa foi atribuído à Unidade de Inteligência Militar 26165 da Diretoria Principal de Inteligência do Estado-Maior da Rússia (GRU), 85º Centro de Serviços Especiais (GTsSS).

Estamos publicando esta pesquisa para destacar o Fighting Ursa usando essa vulnerabilidade em diversas campanhas, apesar de suas táticas terem sido divulgadas por pesquisas do setor de segurança que documentam essa atividade. As organizações e nações de alto risco que usam o Microsoft Outlook devem corrigir o CVE-2023-23397 imediatamente e garantir a configuração apropriada para se defenderem contra ataques futuros.

Os clientes da Palo Alto Networks recebem proteção com os seguintes produtos contra os tipos de ameaças discutidos neste blog:

• Córtex XDR
• Incêndios
• Filtragem avançada de URL
• Prevenção avançada de ameaças
• Serviços de assinatura de segurança DNS para o firewall de última geração

Tópicos Relacionados da Unidade 42	Rússia, Ucrânia
Lutando contra AKAs do Grupo Ursa APT	APT28, UAC-0001, Fancy Bear, Estrôncio/Nevasca Florestal, Tempestade de Peões, Sofacy, Sednit

Índice

CVE-2023-23397: Uma breve visão geral
Vitimologia: um estudo na Rússia Prioridades de segmentação
Conclusão
Proteções e mitigações
Indicadores de comprometimento
Recursos adicionais

CVE-2023-23397: Uma breve visão geral

Antes do conflito na Ucrânia, a Fighting Ursa tinha estabelecido uma reputação pela sua pirataria informática em apoio às operações de guerra de informação da Rússia. Este apoio inclui os seguintes esforços:

• Combatendo as narrativas de investigação antidoping olímpica
• Subvertendo uma investigação sobre o uso de agentes químicos em uma tentativa de assassinato do GRU na Grã-Bretanha
• Influenciando processos eleitorais democráticos nos Estados Unidos, França e Alemanha

Menos conhecidas internacionalmente são as campanhas coletivas de hackers do Fighting Ursa antes da invasão da Ucrânia pela Rússia até hoje.

Em 24 de fevereiro de 2022, a Rússia iniciou uma invasão armada em grande escala da Ucrânia. Três semanas depois (18 de março de 2022), Fighting Ursa enviou por e-mail a primeira instância conhecida de uma exploração usando a vulnerabilidade CVE-2023-23397 (que era então uma exploração de dia zero não descoberta publicamente) para atingir o Serviço Estatal de Migração da Ucrânia.

A Fighting Ursa continuou a usar esta vulnerabilidade como parte de sua estratégia de direcionamento, mesmo depois que pesquisadores ucranianos de segurança cibernética descobriram a exploração e a Microsoft atribuiu publicamente seu uso a “um ator de ameaça baseado na Rússia” em 14 de março de 2023, ao emitir um patch para a vulnerabilidade.

No geral, os pesquisadores da Unidade 42 observaram três campanhas distintas do Fighting Ursa associadas a este CVE:

• Campanha de dia zero (campanha inicial antes da descoberta): 18 de março a dezembro. 29, 2022
• Segunda campanha (pós-identificação do CVE): 15 a 29 de março de 2023
• Terceira campanha : 30 de agosto a outubro. 11, 2023

A Figura 1 mostra a última tentativa observada do Fighting Ursa de usar CVE-2023-23397 em uma mensagem enviada para uma conta do Ministério da Defesa montenegrino em 11 de outubro de 2023. Esta mensagem foi enviada de uma conta que os atores criaram em um serviço de correio público (portugalmail[.]pt).

A exploração bem-sucedida do Microsoft Outlook usando esta vulnerabilidade resulta em um ataque de retransmissão usando o Windows (nova tecnologia) NT LAN Manager (NTLM), conforme descrito em nosso resumo de ameaças para CVE-2023-23397.

NTLM é um protocolo de autenticação de estilo desafio-resposta propenso a ataques de retransmissão, portanto, Kerberos tem sido o protocolo de autenticação padrão em sistemas Windows desde o Windows 2000. No entanto, muitos aplicativos da Microsoft ainda usam NTLM como protocolo substituto em casos em que Kerberos não é viável . O Microsoft Outlook é um desses aplicativos.

Quando um aplicativo Outlook vulnerável ou mal configurado recebe um e-mail especialmente criado explorando CVE-2023-23397, o Outlook envia uma mensagem de autenticação NTLM para um compartilhamento de arquivos remoto controlado pelo invasor. A resposta de autenticação NTLM é um hash NTLMv2 que o Fighting Ursa usa para se passar pela vítima, acessando e manobrando dentro da rede da vítima. Isso é comumente conhecido como ataque de retransmissão NTLM.

Os pesquisadores da Unidade 42 atribuem as atividades dessas campanhas ao Fighting Ursa por dois motivos principais:

1. As vítimas visadas nestas campanhas são todas de aparente valor de inteligência para os militares russos.
2. Todas as campanhas usaram dispositivos de rede cooptados da Ubiquiti para coletar mensagens de autenticação NTLM das redes das vítimas, o que é consistente com campanhas anteriores do Fighting Ursa.

Vitimologia: um estudo sobre as prioridades de segmentação russas

A investigação de mais de 50 amostras observadas nas quais o Fighting Ursa teve como alvo as vítimas com CVE-2023-23397 fornece-lhes insights únicos e informativos sobre as prioridades militares russas durante um período de conflito internacional. As explorações de dia zero, por sua natureza, são mercadorias valiosas para APTs. Os atores da ameaça só usam essas explorações quando as recompensas associadas ao acesso e à inteligência obtida superam o risco de descoberta pública da exploração.

Usar uma exploração de dia zero contra um alvo indica que ela tem um valor significativo. Também sugere que o acesso e a informação existentes para esse alvo eram insuficientes na altura.

Na segunda e terceira campanhas, o Fighting Ursa continuou a utilizar uma exploração de conhecimento público que já lhes era atribuída, sem alterar as suas técnicas. Isto sugere que o acesso e a inteligência gerados por estas operações superaram as ramificações da divulgação e descoberta públicas.

Por estas razões, as organizações visadas nas três campanhas eram provavelmente uma prioridade superior ao normal para a inteligência russa.

Existem algumas conclusões importantes quando se analisam as metas coletivamente, conforme mostrado na Figura 2:

1. Com exceção da Ucrânia, todas as nações europeias visadas são atuais membros da Organização do Tratado do Atlântico Norte (OTAN).
2. Os atacantes tiveram como alvo pelo menos um Corpo de Implantação Rápida da OTAN
3. Fora das organizações governamentais, os atacantes concentraram-se em atingir organizações relacionadas com infraestruturas críticas nos seguintes setores:
   1. Energia
   2. Transporte
   3. Telecomunicações
   4. Tecnologia da Informação
   5. Base industrial militar

Conclusão

É raro ter uma compreensão tão detalhada das prioridades de seleção de alvos de uma APT, especialmente uma APT como a Fighting Ursa, cuja missão é conduzir ataques em nome dos militares russos.

Os governos e os fornecedores de infraestruturas críticas da OTAN e dos países europeus são incentivados a tomar as seguintes ações:

• Tome nota dessas táticas
• Corrigir esta vulnerabilidade
• Configure proteções de endpoint para bloquear esses tipos de campanhas maliciosas

Proteções e Mitigações

• Os clientes Cortex XDR que têm o Advanced API Monitoring habilitado recebem proteção contra tentativas de exploração de CVE-2023-23397 usando proteção XDR Anti-Exploit.
• O Firewall de Próxima Geração com assinatura de segurança do Advanced Threat Prevention pode ajudar a bloquear os ataques com práticas recomendadas por meio da seguinte assinatura do Threat Prevention: 93635, 93705, 93584.
• URLs e IPs maliciosos relacionados a esta atividade são bloqueados pela Filtragem Avançada de URL e pela Segurança DNS.

Se você acha que pode ter sido comprometido ou tem um assunto urgente, entre em contato com a equipe de Resposta a Incidentes da Unidade 42 ou ligue:

• Ligação gratuita para América do Norte: 866.486.4842 (866.4.UNIT42)
• EMEA: +31.20.299.3130
• APAC: +65.6983.8730
• Japão: +81.50.1790.0200

A Palo Alto Networks compartilhou essas descobertas com nossos colegas membros da Cyber ​​Threat Alliance (CTA). Os membros do CTA utilizam esta inteligência para implementar rapidamente proteções aos seus clientes e para interromper sistematicamente agentes cibernéticos maliciosos. Saiba mais sobre a Aliança contra Ameaças Cibernéticas.

Indicadores de Compromisso

• 5.199.162[.]132
• 101.255.119[.]42
• 181.209.99[.]204
• 213.32.252[.]221
• 168.205.200[.]55
• 69.162.253[.]21
• 185.132.17[.]160
• 69.51.2[.]106
• 113.160.234[.]229
• 24.142.165[.]2
• 85.195.206[.]7
• 42.98.5[.]225
• 61.14.68[.]33
• 50.173.136[.]70

Recursos Adicionais

• Resumo sobre ameaças – CVE-2023-23397 – Escalonamento de privilégios do Microsoft Outlook – Unidade 42, Palo Alto Networks
• CVE-2023-23397 Manual da semana – Palo Alto Networks
• Vulnerabilidade de elevação de privilégio do Microsoft Outlook: CVE-2023-23397 – Microsoft
• Microsoft atenua vulnerabilidade de elevação de privilégio no Outlook – Microsoft
• Campagnes d’attaques du mode opératoire APT28 desde 2021 – CERT-France
• EUA acusam oficiais russos do GRU de operações internacionais de hackers e influência relacionada e operações de desinformação – Departamento de Justiça dos Estados Unidos
• Grande Júri indicia 12 oficiais de inteligência russos por crimes de hacking relacionados às eleições de 2016 – Departamento de Justiça dos Estados Unidos
• Campanha de Macron foi alvo de ataques cibernéticos por grupo ligado a espionagem – Reuters
• Da espionagem à propaganda cibernética: as atividades da Pawn Storm nos últimos dois anos – Trend Micro