APT Berserk Bear атаковала десятки правительственных сетей в США

APT США ФБР CISA Berserk Bear Energetic Bear
APT Berserk Bear атаковала десятки правительственных сетей в США
APT США ФБР CISA Berserk Bear Energetic Bear

Преступники эксплуатируют уязвимости в Exim Simple Mail Transfer Protocol, Fortinet VPN и уязвимость Zerologon.

Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) сообщили о киберпреступной APT-группировке, которая атаковала местные, территориальные, государственные, а также авиационные IT-системы в различных штатах США.

По крайней мере с сентября 2020 года APT-группировка Berserk Bear (также известная как Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala) организовала вредоносную кампанию против десятков правительственных и авиационных сетей, предприняла несколько попыток взлома ряда организаций, успешно скомпрометировала сетевую инфраструктуру и по состоянию на 1 октября 2020 года похитила данные как минимум с двух серверов.

Преступники с помощью учетных данных пользователя и администратора устанавливают начальный доступ и перемещаются по сети в поисках ценных активов для кражи. По крайней мере в одном случае хакеры взломали сеть жертвы и получили доступ к документам, связанным с конфиденциальными сетевыми конфигурациями и паролями, стандартными рабочими процедурами, IT-инструкциями по запросу сброса пароля, а также поставщиками и информацией о закупках.

APT использует турецкие IP-адреса для подключения к web-серверам жертв. Хакеры используют 213.74.101 [.] 65 и 213.74.139 [.] 196 для попытки авторизации в системе путем брутфорса и в некоторых случаях пытаются осуществить внедрение SQL-кода. Злоумышленники сканируют Сеть на предмет уязвимых служб Citrix и Microsoft Exchange и активно эксплуатируют уязвимость обхода каталога в Citrix (CVE-2019-19781) и уязвимость удаленного выполнения кода в Microsoft Exchange (CVE-2020-0688).

APT использовала подключения к Cisco AnyConnect SSL VPN для удаленной авторизации в системе по крайней одной из жертв, предположительно, с помощью уязвимости в Exim Simple Mail Transfer Protocol (SMTP) (CVE 2019-10149). Ранее группировка эксплуатировала уязвимость в Fortinet VPN (CVE-2018-13379) для начального доступа и уязвимость Zerologon (CVE-2020-1472) для повышения привилегий и получения доступа к серверам Windows Active Directory.

В настоящее время у ФБР и CISA нет свидетельств вмешательства в работу авиационных, образовательных, избирательных и правительственных систем.