隶属于俄罗斯总参谋部主要情报局的俄罗斯黑客正在使用受感染的Ubiquiti EdgeRouter来构建广泛的僵尸网络、窃取凭据、收集NTLMv2摘要和代理恶意流量。



美国联邦调查局(FBI)、美国国家安全局(NSA)、美国网络司令部和国际合作伙伴发布了联合网络安全咨询,警告俄罗斯国家支持的网络行为者使用受损的Ubiquiti EdgeRouter进行恶意网络操作。他们还使用受感染的路由器来欺骗登陆页面和后利用工具。


根据该通报(PDF),俄罗斯支持的APT28攻击者(又名Fancy Bear)自2022年以来一直在使用受感染的Ubiquiti EdgeRouter对航空航天与国防、教育以及能源与公用事业等多个行业开展秘密网络行动。捷克共和国、意大利、立陶宛、约旦、黑山、波兰、斯洛伐克、土耳其、乌克兰和美国是其主要目标。


2023年,APT28攻击者使用Python脚本收集网络邮件用户凭据,并通过跨站点脚本和浏览器中的浏览器鱼叉式网络钓鱼活动将其上传到受感染的Ubiquiti路由器。他们还利用CVE-2023-23397零日漏洞(尽管已修补)在受感染的路由器上安装Impacket ntlmrelayx.py和Responder等工具,从而允许NTLM中继攻击和托管恶意身份验证服务器。


供您参考,Microsoft的威胁防护情报团队在Outlook中发现了此漏洞,该漏洞允许攻击者窃取Net-NTLMv2哈希值并访问用户帐户。该漏洞此前曾被疑似与俄罗斯军事情报机构有关联的森林暴雪组织利用。


FBI已确定EdgeRouters上存在Mirai-baed Moobot OpenSSH木马和APT28活动的IOC。APT28攻击者利用OpenSSH服务器进程中的漏洞,托管Python脚本来收集和验证被盗的Web邮件帐户凭据。攻击者在EdgeRouters上使用iptables规则建立反向代理连接,并将对手控制的SSH RSA密钥上传到受感染的路由器。他们还使用了masEPIE,这是一个能够在受害者计算机上执行任意命令的Python后门。


进一步调查显示,APT28使用受损的Ubiquiti EdgeRouters作为针对目标部署的MASEPIE后门的C2基础设施。发送至EdgeRouters和从EdgeRouters发送的数据均使用随机生成的16字符AES密钥进行加密。


FBI建议通过执行硬件出厂重置、升级到最新固件、更改默认用户名和密码以及在WAN侧接口上实施战略防火墙规则来修复受损的EdgeRouter。


网络所有者应保持其操作系统、软件和固件为最新状态,并更新Microsoft Outlook以缓解CVE-2023-23397的影响。为了缓解其他形式的NTLM中继,网络所有者应考虑禁用NTLM或启用服务器签名和身份验证配置的扩展保护。


为了深入了解最新的咨询,我们联系了Bambenek Consulting总裁John Bambenek,他强调了修补缺陷和保持系统最新的重要性。


“25年来整个技术堆栈网络安全方面最大的进步是微软将自动更新设置为Windows的默认设置。在物联网、嵌入式设备和网络堆栈中,这不是常态。”约翰认为。


“我们知道消费者或大多数组织都不会修补设备,那么民族国家行为者为什么不参与目标丰富的环境呢?这些设备具有普通计算机的所有弱点,只是用户无法对其进行强化、添加EDR或对服务器执行任何操作以使其更安全。在制造商认真对待这个问题之前,无论是Mirai还是间谍,这些设备都将继续大量受到损害。”