APT Berserk Bear атаковала десятки правительственных сетей в США

[Artifact]

Преступники эксплуатируют уязвимости в Exim Simple Mail Transfer Protocol, Fortinet VPN и уязвимость Zerologon.

Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) https://us-cert.cisa.gov/ncas/alerts/aa20-296aо киберпреступной APT-группировке, которая атаковала местные, территориальные, государственные, а также авиационные IT-системы в различных штатах США.
По крайней мере с сентября 2020 года APT-группировка Berserk Bear (также известная как Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala) организовала вредоносную кампанию против десятков правительственных и авиационных сетей, предприняла несколько попыток взлома ряда организаций, успешно скомпрометировала сетевую инфраструктуру и по состоянию на 1 октября 2020 года похитила данные как минимум с двух серверов.
Преступники с помощью учетных данных пользователя и администратора устанавливают начальный доступ и перемещаются по сети в поисках ценных активов для кражи. По крайней мере в одном случае хакеры взломали сеть жертвы и получили доступ к документам, связанным с конфиденциальными сетевыми конфигурациями и паролями, стандартными рабочими процедурами, IT-инструкциями по запросу сброса пароля, а также поставщиками и информацией о закупках.
APT использует турецкие IP-адреса для подключения к web-серверам жертв. Хакеры используют 213.74.101 [.] 65 и 213.74.139 [.] 196 для попытки авторизации в системе путем брутфорса и в некоторых случаях пытаются осуществить внедрение SQL-кода. Злоумышленники сканируют Сеть на предмет уязвимых служб Citrix и Microsoft Exchange и активно эксплуатируют уязвимость обхода каталога в Citrix ( CVE-2019-19781 ) и уязвимость удаленного выполнения кода в Microsoft Exchange ( CVE-2020-0688 ).
APT использовала подключения к Cisco AnyConnect SSL VPN для удаленной авторизации в системе по крайней одной из жертв, предположительно, с помощью уязвимости в Exim Simple Mail Transfer Protocol (SMTP) ( CVE 2019-10149 ). Ранее группировка эксплуатировала уязвимость в Fortinet VPN ( CVE-2018-13379 ) для начального доступа и уязвимость Zerologon ( CVE-2020-1472 ) для повышения привилегий и получения доступа к серверам Windows Active Directory.
В настоящее время у ФБР и CISA нет свидетельств вмешательства в работу авиационных, образовательных, избирательных и правительственных систем.