美國聯邦調查局FBI稱俄羅斯總參謀部主要情報局的黑客瞄準Ubiquiti路由器獲取數據并創建僵尸網絡

隸屬于俄羅斯總參謀部主要情報局的俄羅斯黑客正在使用受感染的Ubiquiti EdgeRouter來構建廣泛的僵尸網絡、竊取憑據、收集NTLMv2摘要和代理惡意流量。

美國聯邦調查局(FBI)、美國國家安全局(NSA)、美國網絡司令部和國際合作伙伴發布了聯合網絡安全咨詢，警告俄羅斯國家支持的網絡行為者使用受損的Ubiquiti EdgeRouter進行惡意網絡操作。他們還使用受感染的路由器來欺騙登陸頁面和后利用工具。

根據該通報(PDF)，俄羅斯支持的APT28攻擊者（又名Fancy Bear）自2022年以來一直在使用受感染的Ubiquiti EdgeRouter對航空航天與國防、教育以及能源與公用事業等多個行業開展秘密網絡行動。捷克共和國、意大利、立陶宛、約旦、黑山、波蘭、斯洛伐克、土耳其、烏克蘭和美國是其主要目標。

2023年，APT28攻擊者使用Python腳本收集網絡郵件用戶憑據，并通過跨站點腳本和瀏覽器中的瀏覽器魚叉式網絡釣魚活動將其上傳到受感染的Ubiquiti路由器。他們還利用CVE-2023-23397零日漏洞（盡管已修補）在受感染的路由器上安裝Impacket ntlmrelayx.py和Responder等工具，從而允許NTLM中繼攻擊和托管惡意身份驗證服務器。

供您參考，Microsoft的威脅防護情報團隊在Outlook中發現了此漏洞，該漏洞允許攻擊者竊取Net-NTLMv2哈希值并訪問用戶帳戶。該漏洞此前曾被疑似與俄羅斯軍事情報機構有關聯的森林暴雪組織利用。

FBI已確定EdgeRouters上存在Mirai-baed Moobot OpenSSH木馬和APT28活動的IOC。APT28攻擊者利用OpenSSH服務器進程中的漏洞，托管Python腳本來收集和驗證被盜的Web郵件帳戶憑據。攻擊者在EdgeRouters上使用iptables規則建立反向代理連接，并將對手控制的SSH RSA密鑰上傳到受感染的路由器。他們還使用了masEPIE，這是一個能夠在受害者計算機上執行任意命令的Python后門。

進一步調查顯示，APT28使用受損的Ubiquiti EdgeRouters作為針對目標部署的MASEPIE后門的C2基礎設施。發送至EdgeRouters和從EdgeRouters發送的數據均使用隨機生成的16字符AES密鑰進行加密。

FBI建議通過執行硬件出廠重置、升級到最新固件、更改默認用戶名和密碼以及在WAN側接口上實施戰略防火墻規則來修復受損的EdgeRouter。

網絡所有者應保持其操作系統、軟件和固件為最新狀態，并更新Microsoft Outlook以緩解CVE-2023-23397的影響。為了緩解其他形式的NTLM中繼，網絡所有者應考慮禁用NTLM或啟用服務器簽名和身份驗證配置的擴展保護。

為了深入了解最新的咨詢，我們聯系了Bambenek Consulting總裁John Bambenek，他強調了修補缺陷和保持系統最新的重要性。

“25年來整個技術堆棧網絡安全方面最大的進步是微軟將自動更新設置為Windows的默認設置。在物聯網、嵌入式設備和網絡堆棧中，這不是常態。”約翰認為。

“我們知道消費者或大多數組織都不會修補設備，那么民族國家行為者為什么不參與目標豐富的環境呢？這些設備具有普通計算機的所有弱點，只是用戶無法對其進行強化、添加EDR或對服務器執行任何操作以使其更安全。在制造商認真對待這個問題之前，無論是Mirai還是間諜，這些設備都將繼續大量受到損害。”