Pawn Storm’s Stealthy Net-NTLMv2 Assault Revealed
2024/01/31 InfoSecurity — APT28 としても知られる APT アクターである Pawn Storm は、遅くとも 2004年以降において各種のテクニックを駆使し、世界的に価値の高い事業体を標的としてきた。このグループは、一見すると 10年前のフィッシング・キャンペーンのような時代遅れの手法に頼っているが、現実には何千もの電子メール・アカウントを侵害し続けている。1月31日に、Trend Micro の研究者 Feike Hacquebord と Fernando Merces が発表したアドバイザリによると、最近の Pawn Storm は、Net-NTLMv2 ハッシュ・リレー攻撃に関与しており、世界中の政府/防衛/軍事ネットワークへのブルートフォース侵入を試みている。
2022年4月〜2023年11月に Pawn Storm は、NTLMv2 ハッシュ・リレー攻撃を重点的に施行し、エネルギー/外務/防衛/運輸 などの分野を取り扱う、政府の部門を標的としていた。
Pawn Storm は、欧州/北米/南米/中東/アジア/アフリカで活動してきた。その攻撃手法は、被害者のメール・ボックスのフォルダ・パーミッションを変更し、横方向への移動を可能にし、持続性を確保するものである。
Pawn Storm は、作戦上のセキュリティを強化し、その戦術を徐々に変化させている。ただし、企業のメール・サーバや VPN サービスに対する、ブルートフォース・クレデンシャル攻撃は、2019年以降において、よく見られるものであった。
最近の Pawn Storm は、VPN サービス/Tor/侵害された EdgeOS ルーター/URL 短縮ツールなどの無料サービスといった、匿名化レイヤーも採用している。それらの匿名化レイヤーの使用は、Tor や VPN の出口ノード経由でアクセス侵害された、メール・アカウントから送信されるスピア・フィッシング・メールにも及んでいる。
脆弱性 CVE-2023-23397 は、2023年3月にパッチが適用された深刻なものであるが、Pawn Storm による Outlook ユーザーに対するハッシュ・リレー攻撃で悪用されてきた。この脆弱性の悪用に成功した攻撃者は、悪意のカレンダーの招待を送信し、Net-NTLMv2 ハッシュ・リレー攻撃を誘発してきた。
このキャンペーンは、2023年8月まで引き伸ばされ、Mockbin 上でホストされるスクリプトや、無料 Web ホスティング・ドメイン上の PHP スクリプトにリダイレクトする URL などの、より手の込んだ手法へと進化を遂げてきた。
Pawn Storm の多様化には、ハッシュ・リレー攻撃における、WinRAR の脆弱性 CVE-2023-38831 の悪用も含まれる。2023年後半に行われたクレデンシャル・フィッシング・キャンペーンは、ヨーロッパの政府を標的とし、webhook[.] サイトの URL と VPN の IP アドレスを利用していた。
2022年10月に Pawn Storm は、Command and Contorl (C2) サーバを使用しない情報窃盗を行っている。この粗雑であり、効果的な手法は、窃取したファイルを無料のファイル共有サービスにアップロードし、アクセスに短縮 URL を使用するというものだった。
Trend Micro のアドバイザリで Hacquebord と Merces が警告しているのは、Pawn Storm は20年の歴史があるにもかかわらず攻撃的であり続け、高度でステルス的な手法とともに、派手で攻撃的な戦術も改訂されているということだ。
ネットワーク防御者に対して呼びかけられるのは、この調査で提供された侵害の指標を活用し、Pawn Storm の永続的な脅威に対して、セキュリティを強化することである。
Pawn Storm が悪用する、Outlook の脆弱性 CVE-2023-23397 は、2023年12月にも警告が発せられていました。また、WinRAR の脆弱性 CVE-2023-38831 も、狙われているようです。それだけ、パッチが適用されずに放置されているシステムが多いのでしょう。そして、Pawn Storm という老舗の脅威アクターが、それらの脆弱性を悪用しているとのことです。ご注意ください、よろしければ、Outlook で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.