Pawn Storm: кто стоит за группой, которая взламывает мировые организации с 2004 года

В новом отчете Trend Micro рассказывается о действиях киберпреступной группы Pawn Storm, которая занимается хакерскими атаками на важные мировые организации с 2004 года, используя разнообразные методы. Несмотря на кажущуюся устарелость методов, включая фишинговые кампании, которые ведутся уже на протяжении десятилетия, Pawn Storm продолжает успешно взламывать тысячи электронных почт.

Trend Micro утверждает, что недавно группа перешла на атаки с помощью хэшей Net-NTLMv2, пытаясь проникнуть в сети правительственных, оборонных и военных организаций по всему миру. Группа демонстрировала свою активность в Европе, Северной и Южной Америке, Азии, Африке и на Ближнем Востоке. Хакеры проявляли настойчивость, изменяя разрешения папок в почтовых ящиках жертв, что позволяло им перемещаться по сети.

С 2019 года киберпреступники часто применяли методы брутфорса для взлома почтовых серверов и корпоративных VPN-сервисов. Группа также использовала способы анонимизации, такие как VPN-сервисы, сети Tor, взломанные маршрутизаторы EdgeOS и бесплатные сервисы, например, сервис сокращения URL-ссылок. Анонимизация распространялась и на фишинговые письма, отправленные со скомпрометированных email-аккаунтов через Tor или VPN.

Критическая уязвимость CVE-2023-23397 (оценка CVSS: 9,8), устраненная в марте 2023 года, позволила Pawn Storm проводить Relay-атаки на пользователей Outlook. С помощью недостатка группа отправляла специальные приглашения в календаре, инициируя атаку Net-NTLMv2. Кампания продолжалась до августа 2023 года, становясь всё более изощренной с использованием скриптов, размещенных на Mockbin и URL, перенаправляющих на PHP-скрипты на бесплатных доменах веб-хостинга.

Pawn Storm также использовала уязвимость WinRAR CVE-2023-38831 (оценка CVSS: 7.8) для Relay-атак. В конце 2023 года хакеры провели фишинговую кампанию по краже учетных данных, нацеленную на правительства европейских стран, используя URL-адреса «webhook[.]site" и IP-адреса VPN. Кроме Pawn Storm, с помощью недостатка несколько других APT-групп атаковали 130 организаций, успешно завладев фондами трейдеров.

В октябре 2022 года Pawn Storm также использовала инфостилер без соединения с сервером управления и контроля (Command and Control, C2). Такой простой, но эффективный метод включал загрузку украденных файлов на бесплатный файлообменник, используя сокращенные URL для доступа.

В марте 2023 года команда безопасности Microsoft выявила критическую уязвимость в Microsoft Outlook. Отслеживаемая под идентификатором CVE-2023-23397 ошибка позволяет злоумышленникам похищать хеши Net-NTLMv2 и получать доступ к аккаунтам пользователей. Особую опасность в себе таит специально подготовленное электронное сообщение, при открытии которого хеш Net-NTLMv2 пользователя передаётся атакующему.