与俄罗斯相关的APT28组织篡改了Ubiquiti EdgeRouter以便进行网络行动

美国联邦调查局（FBI）、国家安全局（NSA）、美国网络司令部以及国际合作伙伴发布了一份联合网络安全咨询（CSA），警告称与俄罗斯有关的威胁行为者正在利用被攻破的Ubiquiti EdgeRouter（EdgeRouter）在全球范围内进行网络行动，以逃避检测。美国机构和国际合作伙伴（来自比利时、巴西、法国、德国、拉脱维亚、立陶宛、挪威、波兰、韩国和英国）观察到多个与俄罗斯有关的威胁行为者（包括俄罗斯总参谋部主要情报总局（GRU）、第85主要特种服务中心（GTsSS），也被称为APT28、Fancy Bear和Forest Blizzard（Strontium））利用名为Moobot的被攻陷的EdgeRouters设备组成的僵尸网络，在全球范围内收集凭据、收集NTLMv2摘要、代理网络流量，并托管钓鱼着陆页和自定义工具。

联合报告中写道。“早在2022年，APT28行为者就利用被攻破的EdgeRouters进行秘密网络行动，针对世界各地的政府、军事和组织。 这些行动已经针对各种行业，包括航空航天与国防、教育、能源与公共事业、政府、酒店业、制造业、石油与天然气、零售业、科技和交通运输。受影响的国家包括捷克共和国、意大利、立陶宛、约旦、黑山、波兰、斯洛伐克、土耳其、乌克兰、阿联酋和美国。此外，这些行为者还有针对乌克兰许多个人的策略性目标。” 

2024年2月，一项法院命令允许美国当局中和Moobot僵尸网络，这是一个由与俄罗斯有关的APT28组织控制的数百个小型办公室/家庭办公室（SOHO）路由器组成的网络。俄罗斯政府支持的黑客利用该僵尸网络进行了广泛的攻击。“一项2024年1月经法院授权的行动已经中和了数百个小型办公室/家庭办公室（SOHO）路由器的网络，这些路由器是由GRU军事单位26165，也被称为APT28、Sofacy Group、Forest Blizzard、Pawn Storm、Fancy Bear和Sednit使用来掩盖并实施各种犯罪活动。” 美国司法部发布的新闻稿中写道。“这些犯罪包括对俄罗斯政府感兴趣的目标进行大规模的钓鱼和类似的凭证收集活动，如美国和外国政府以及军事、安全和企业组织。最近几个月，有关26165部队进行此类活动的指控已成为私营部门网络安全咨询和乌克兰政府警告的对象。” Moobot僵尸网络由数百台被攻陷的Ubiquiti Edge OS路由器组成，最初是由已知的网络犯罪团伙创建的，后来被与俄罗斯有关的APT组织控制。基于Mirai的Moobot僵尸网络最早由Palo Alto Unit 42研究人员于2021年2月记录，在2021年11月，它开始利用多个海康威视产品Web服务器的关键命令注入漏洞（CVE-2021-36260）。

自2022年9月以来，Moobot僵尸网络已被发现针对易受攻击的D-Link路由器。2023年4月，FortiGuard Labs的研究人员观察到一场针对Cacti（CVE-2022-46169）和Realtek（CVE-2021-35394）漏洞的黑客活动，以传播ShellBot和Moobot恶意软件。法院命令允许当局使用Moobot恶意软件从被攻陷的路由器中复制和删除窃取的恶意数据和文件。美国政府行动阻止了俄罗斯网络间谍访问路由器。该行动可逆地修改了路由器的防火墙规则，以阻止远程管理访问设备。研究人员观察到MooBot僵尸网络以默认或弱凭据攻击路由器，以部署OpenSSH木马。攻击者替换了被攻陷的EdgeRouters上的二进制文件，用植入木马的OpenSSH服务器二进制文件代替，从而使远程攻击者可以绕过认证。APT28组使用Python脚本在被攻陷的EdgeRouters上收集和验证窃取的网络邮件帐户凭据。这些网络邮件帐户凭据是通过跨站脚本和浏览器内钓鱼活动收集的。还观察到APT28利用Microsoft Outlook的关键权限提升漏洞CVE-2023-23397（CVSS评分：9.8），该漏洞可能允许攻击者窃取NT LAN Manager（NTLM）哈希并发起继电攻击，而无需任何用户交互。

此外，FBI的调查揭示，早在2022年，APT28行为者就利用了CVE2023-23397，当时是一个零日漏洞，从而从目标Outlook帐户中收集了NTLMv2摘要[T1203]。

根据微软于2023年3月发布的博客文章[3]，CVE-2023-23397是Windows上Microsoft Outlook的关键权限提升漏洞，其中Net-NTLMv2哈希泄露给了由行为者控制的基础设施[T1119，T1020]。” 报告继续说。2023年12月，与俄罗斯有关的APT28组开发了一个名为MASEPIE的紧凑Python后门，允许操作员在被攻陷的设备上执行任意命令。APT28已利用被攻陷的Ubiquiti EdgeRouters作为MASEPIE后门的命令与控制基础设施。与EdgeRouters之间的通信涉及使用随机生成的16字符AES密钥进行加密。需要强调的是，APT28并不直接在EdgeRouters上安装MASEPIE，而是将其部署在与目标个人和组织相关的系统上。“总之，通过root权限访问被攻陷的Ubiquiti EdgeRouters，APT28行为者可以轻松访问基于Linux的操作系统，以安装工具并在进行恶意活动时混淆其身份。” 

报告总结道。以下是报告提供的一些缓解措施，政府专家指出重新启动被攻陷的EdgeRouter不会清除恶意软件：进行硬件恢复出厂设置以清除恶意文件系统。升级到最新的固件版本。更改任何默认用户名和密码。在WAN侧接口上实施战略性防火墙规则，以防止远程管理服务的不必要暴露。

原文始发于微信公众号（黑猫安全）：与俄罗斯相关的APT28组织篡改了Ubiquiti EdgeRouter以便进行网络行动