APT28 针对高端组织的 NTLM v2 哈希中继攻击

关键要点

APT28又称 Fancy Bear、BlueDelta、Pawn Storm 和 Forest Blizzard在 2022 年 4 月至 2023 年 11 月期间，针对全球高档组织进行了 NTLM v2 哈希中继攻击。恶意行为者利用了关键的 Microsoft Outlook 权限提升漏洞CVE202323397和高严重性 WinRAR 代码执行漏洞CVE202338831来进行攻击。该威胁组织还使用了多个匿名化层，包括数据中心 IP 地址、被攻陷的 EdgeOS 路由器和 VPN 服务器。

根据黑客新闻的报道，APT28 这支由俄罗斯国家支持的威胁行动，利用上述漏洞成功发起针对组织邮箱的 NTLM 中继攻击。Trend Micro 研究人员的报告显示，APT28 通过实施多个隐蔽的匿名层，进一步增强了其攻击能力。

hd18co黑洞加速器4.3.2漏洞名称漏洞编号影响Microsoft Outlook 权限提升CVE202323397提供了攻击者提升访问权限的机会WinRAR 代码执行漏洞CVE202338831允许未经授权的代码在受害者系统上执行

研究人员称：“这些重复、粗暴且攻击性的活动的喧嚣掩盖了初始入侵的沉默、精细和复杂，以及 Pawn Storm 一旦在受害者组织中建立初步立足点后可能发生的后期利用行为。”这表明，尽管攻击手法显得激烈，但其初始进入和后续行动可能更为隐蔽和复杂。

APT28 的攻击行为提醒了各组织需要提高安全防范意识，监控潜在漏洞的利用情况，提高对网络安全的重视，以保护组织信息不被泄露。