In einer aktuellen gemeinsamen Warnung fordern Cybersecurity- und Nachrichtendienste aus den USA und anderen Ländern die Nutzer von Ubiquiti EdgeRoutern dazu auf, Schutzmaßnahmen zu ergreifen. Diese Warnung erfolgt wenige Wochen, nachdem ein Botnetz aus infizierten Routern von den Strafverfolgungsbehörden im Rahmen der Operation „Dying Ember“ zerschlagen wurde.
Das Botnetz, bekannt als MooBot, soll von der mit Russland in Verbindung stehenden Bedrohungsgruppe APT28 für verdeckte Cyberoperationen und zum Einschleusen von spezifischer Malware für weitere Ausnutzungen verwendet worden sein. APT28, die mit der Hauptverwaltung des Generalstabs (GRU) Russlands verbunden ist, ist mindestens seit 2007 aktiv.
APT28-Akteure „haben kompromittierte EdgeRouter weltweit genutzt, um Anmeldeinformationen zu ernten, NTLMv2-Digests zu sammeln, Netzwerkverkehr zu leiten und Phishing-Landing-Pages sowie spezielle Tools zu hosten“, so die Behörden.
Die Angriffe durch MooBot umfassen das Ziel, Router mit Standard- oder schwachen Anmeldedaten zu kompromittieren, um OpenSSH-Trojaner zu installieren. APT28 nutzt diesen Zugang, um Bash-Skripte und andere ELF-Binärdateien bereitzustellen, um Anmeldeinformationen zu sammeln, Netzwerkverkehr zu leiten, Phishing-Seiten zu hosten und weitere Tools einzusetzen.
Dies beinhaltet Python-Skripte, um Anmeldeinformationen von gezielt ausgewählten Webmail-Nutzern hochzuladen, die über Cross-Site-Scripting und Browser-in-the-Browser (BitB) Phishing-Kampagnen gesammelt werden.
APT28 wurde außerdem mit der Ausnutzung von CVE-2023-23397 in Verbindung gebracht, einer nun gepatchten kritischen Schwachstelle zur Eskalation von Privilegien in Microsoft Outlook, die den Diebstahl von NT LAN Manager (NTLM)-Hashes ermöglichen und einen Relay-Angriff ohne Nutzerinteraktion durchführen könnte.
Ein weiteres Werkzeug in seinem Malware-Arsenal ist MASEPIE, ein Python-Backdoor, das fähig ist, beliebige Befehle auf kompromittierten Ubiquiti EdgeRoutern als Command-and-Control (C2)-Infrastruktur auszuführen.
„Mit Root-Zugriff auf kompromittierte Ubiquiti EdgeRouter haben APT28-Akteure uneingeschränkten Zugang zu Linux-basierten Betriebssystemen, um Tools zu installieren und ihre Identität bei der Durchführung bösartiger Kampagnen zu verschleiern“, so die Agenturen.
Organisationen wird empfohlen, einen Hardware-Factory-Reset der Router durchzuführen, um die Dateisysteme von bösartigen Dateien zu bereinigen, auf die neueste Firmware-Version zu aktualisieren, Standardanmeldeinformationen zu ändern und Firewall-Regeln zu implementieren, um die Exposition von Remote-Verwaltungsdiensten zu verhindern.
Die Enthüllungen sind ein Zeichen dafür, dass staatlich unterstützte Hacker zunehmend Router als Startplattform für Angriffe nutzen, um Botnetze wie VPNFilter, Cyclops Blink und KV-botnet zu erstellen und ihre bösartigen Aktivitäten durchzuführen.
Das Bulletin erscheint einen Tag, nachdem die Five-Eyes-Nationen APT29 – die Bedrohungsgruppe, die mit dem russischen Auslandsgeheimdienst (SVR) verbunden ist und hinter den Angriffen auf SolarWinds, Microsoft und HPE steckt – dafür kritisiert haben, Dienstkonten und inaktive Konten zu nutzen, um auf Cloud-Umgebungen bei Zielorganisationen zuzugreifen.