Русскоязычная кибергруппировка APT28, также известная как Sofacy, возможно стоит за серией атак на постояльцев отелей, произошедшей в прошлом месяце.
При этом на одном из этапов кражи группировка использовала эксплойт EternalBlue. Первым этапом атаки была целевая фишинговая рассылка писем, содержащих вредоносный документ, который злоумышленники выдавали за форму бронирования отеля.
Если жертва открывала документ (и макросы были включены), на ее компьютер устанавливался дроппер, который, в свою очередь, загружал зловреда Gamefish. Это вредоносное ПО уже ассоциировалось с APT28, его задачей является закрепление в атакуемой системе и последующая установки инструмента под названием Responder.
Проникнув в гостиничную сеть, APT28, по данным исследователей FireEye, ищет компьютеры, контролирующие гостевую и внутреннюю сети Wi-Fi. Для распространения внутри локальной сети киберпреступники использовали версию эксплойта EternalBlue, совмещенную с py2exe для обработки скриптов Python. По словам исследователей, это первый случай использования такого эксплойта со стороны APT28.
Как только преступники закреплялись в гостиничной сети Wi-Fi, они загружали на скомпрометированную систему инструмент Responder, чтобы подменить ответы по протоколу NetBIOS Name Service (NBT-NS). В результате они получали возможность отслеживать попытки подключения к сетевым ресурсам с компьютеров постояльцев. Далее Responder выдавал себя за запрашиваемый ресурс и заставляет компьютер жертвы отправить имя пользователя и хэшированный пароль на машину атакующего.
По данным FireEye, после этого киберпреступники восстанавливали пароль и использовали его и имя пользователя для повышения привилегий в сети жертвы. Кибергруппировка APT28 (она же Sofacy, Fancy Bear и др.) известна с 2008 года. Ее целями являются военные и государственные организации по всему миру, в основном, в странах НАТО.