In einem neuen Blogbeitrag widmet sich Trend Micro Pawn Storm (auch APT28 oder Forest Blizzard), einer Gruppe von APT-Akteuren, die sich durch beharrliche Wiederholungen in ihren Taktiken, Techniken und Verfahren (TTPs) auszeichnet.
Die Gruppe ist dafür bekannt, dass sie immer noch ihre zehn Jahre alten Phishing-E-Mail-Kampagnen einsetzt, die sich gegen hochrangige Ziele in der ganzen Welt richten. Obwohl sich die Methoden und die Infrastruktur der Kampagnen im Laufe der Zeit allmählich ändern, liefern sie immer noch wertvolle Informationen über die Infrastruktur von Pawn Storm, einschließlich derjenigen, die sie in fortgeschritteneren Kampagnen verwenden.
Trend Micro hat dazu die Aktivitäten Pawn Storms zwischen April 2022 bis November 2023 verfolgt: In dieser Zeit versuchte Pawn Storm mit Hilfe verschiedener Methoden NTLMv2 Hash Relay-Angriffe zu starten. Zu den Empfängern der bösartigen Spear-Phishing-Kampagnen gehören Organisationen aus den Bereichen Außenpolitik, Energie, Verteidigung und Verkehr. Die Gruppe hatte es auch auf Organisationen abgesehen, die sich mit Arbeit, Sozialfürsorge, Finanzen und Elternschaft befassen, und sogar auf lokale Stadtverwaltungen, eine Zentralbank, Gerichte und die Feuerwehr einer militärischen Abteilung eines Landes.
Der scheinbare mangelnde Grad an Raffinesse bedeutet nicht unbedingt, dass die Täter nicht erfolgreich oder die Kampagnen nicht ausgereift sind. Im Gegenteil, es gibt eindeutige Hinweise darauf, dass Pawn Storm im Laufe der Zeit Tausende von Mail-Konten kompromittiert hat, wobei einige dieser sich scheinbar wiederholenden Angriffe raffiniert konzipiert und getarnt sind. Einige verwenden auch hochentwickelte TTPs. Der „Lärm“ der sich wiederholenden, oft plumpen und aggressiven Kampagnen übertönt die Stille, die Subtilität und die Komplexität des ersten Eindringens sowie die Aktionen, die nach der Ausnutzung stattfinden können, sobald die Eindringlinge in den Organisationen der Opfer Fuß gefasst haben
Feike Hacquebord, Senior Threat Researcher bei Trend Micro, ordnet die Aktivitäten der Gruppe ein:
Pawn Storm startete vom 29. November bis zum 11. Dezember 2023 eine Phishing-Kampagne gegen verschiedene Regierungen in Europa. Wir können diese Kampagne anhand technischer Indikatoren mit einigen der Net-NTLMv2-Hash-Relay-Kampagnen in Verbindung bringen. So wurde beispielsweise in beiden Kampagnen derselbe Computername verwendet. Er wurde auch zum Versenden von Spear-Phishing-Mails und zum Erstellen von LNK-Dateien verwendet, die in einigen der Net-NTLMv2-Hash-Relay-Kampagnen eingesetzt wurden.
Weitere Informationen:
- Einen umfassenden englischen Blogbeitrag zu Pawn Storm finden Sie hier.
- Den gekürzten deutschen Blogbeitrag zu Pawn Storm finden Sie hier.
www.trendmicro.com