ԱՄՆ-ի և այլ երկրների կիբերանվտանգության և հետախուզության գծով գործակալությունները Ubiquiti EdgeRouter-ի օգտատերերին հորդորում են պաշտպանական համապատասխան միջոցներ ձեռնարկել։ Տարածված հայտարարությունից շաբաթներ անց botnet–ը վնասել էր բազմաթիվ router–երի աշխատանքը։
MooBot անունը կրող botnet-ն օգտագործվել է Ռուսաստանի իշխանությունների կողմից հովանավորվող հանձնախմբի կողմից։ Այն հայտնի է APT28 անունով։ APT28-ն իր գործունեությամբ աչքի է ընկել դեռևս 2007 թվականից:
APT28-ի հետևում կանգնած հաքերներն օգտագործել են վտանգված EdgeRouter-ների՝ հավատարմագրերը, NTLMv2 ամփոփագրերը հավաքագրելու, host spear-phishing landing էջերն ու proxy ցանցերը հավաքագրելու համար, – ասվում է իշխանությունների կողմից [PDF]:
Այն իր մեջ Python-ի սկրիպտներ է ներառում՝ webmail–ի օգտատերերին պատկանող օգտահաշիվների հավատարմագրերը վերբեռնելու համար։ Հավաքագրումն իրականացվել է browser-in-the-browser (BitB) spear-phishing արշավների միջոցով:
APT28-ը կապված է նաև CVE-2023-23397 (CVSS կատալոգում միավորը` 9.8)–ի շահագործման հետ, ինչն էլ Microsoft Outlook-ում տարածում գտած խոցելիություն է, որը հնարավոր է դարձնում NT LAN Manager-ի (NTLM) գողությունը։
Հաքերների զինանոցում մեկ այլ մեծ տարածում գտած playload է համարվում Python-ի MASEPIE playload-ը, որը Microsoft Outlook–ում համարվում է կրիտիկական էսկալացիայի խոցելիություն։
Բացահայտումները վկայում են, որ պետությունների կողմից հովանավորվող հաքերներն ավելի ու ավելի են սկսել չարաշահել router–երի խոցելիությունները՝ դրանք օգտագործելով VPNFilter, Cyclops Blink և KV botnet-ներ ստեղծելու համար։
Աղբյուրը՝ https://thehackernews.com/