Pawn Storm（也称“APT28”和“Forest Blizzard”）是一个高级持续性威胁（APT）攻击者，其战术、技术和程序（TTPs）呈现出不断重复的特性。该组织的一些活动涉及重复使用相同的技术技巧，有时还会同时针对一个组织中的数百人。

据悉，该威胁行为者仍在使用十多年前的网络钓鱼电子邮件活动，并将其发送到世界各地的高价值目标。尽管这些活动的方法和基础设施随着时间的推移而逐渐改变，但它们仍然提供了关于Pawn Storm基础设施的宝贵情报，包括它在更高级的活动中使用的基础设施。

这种明显的“滞后性”并不一定意味着威胁行为者不成功，或是这些活动在本质上不先进。相反地，趋势科技研究人员发现，随着时间的推移，Pawn Storm已经破坏了数千个电子邮件帐户，其中一些看似重复的攻击被巧妙地设计和隐蔽。有些还使用高级TTPs。这种重复的、粗暴的、侵略性的行动，掩盖了初始入侵的静默、微妙和复杂性，以及一旦Pawn Storm在受害者组织中站稳脚跟后可能发生的后渗透（post-exploitation）行动。

根据研究人员的估计，大约从2022年4月到2023年11月，Pawn Storm试图通过不同的方法发动NTLMv2哈希中继攻击，同时目标数量和目标政府部门的变化都达到了巨大的峰值。Pawn Storm恶意鱼叉式网络钓鱼活动的接收端包括处理外交事务、能源、国防和运输的组织。该组织的目标还包括劳工、社会福利、金融、亲子关系，甚至是当地市议会、中央银行、法院和国家军事部门的消防部门。

研究人员猜想：这些发起Net-NTLMv2哈希中继攻击的尝试是否过于广泛和重复？或者，它们只是“Pawn Storm”的一种成本效益高的自动化方法，通过暴力手段进入世界各地的政府、国防工业和军事力量的网络？

结论可能更多地倾向后一种可能。此外，正如波兰国防部和微软在最近的博客文章中所描述的那样，对多个地区的政府、后勤和国防工业的持续攻击隐藏了更先进的攻击部分。该组织的部分后渗透活动涉及修改受害者邮箱中的文件夹权限，从而增强持久性。利用受害者的电子邮件帐户，可以通过从受害者组织内部发送额外的恶意电子邮件进行横向移动。

该组织的攻击目标包括政府、国防工业、能源和交通部门以及军方等。根据遥测数据显示，目标主要集中在欧洲，北美，南美，亚洲，非洲和中东。

【表1：趋势科技遥测数据显示，Pawn Storm的最新活动目标】

Pawn Storm至少从2004年就已开始活跃，并在过去几年里开始更多地关注运营安全，该组织的TTP也在随着时间的推移而缓慢变化。

Pawn Storm侵入系统最常用的方法之一是暴力破解凭据攻击。自2019年以来，该攻击者一直在积极尝试暴力入侵世界各地组织的邮件服务器和企业虚拟专用网（VPN）服务。

研究人员认为Pawn Storm的攻击活动已经取得了成功。评估结果显示，该组织已设法破坏了数千个电子邮件地址，并滥用这些电子邮件来发送额外的鱼叉式网络钓鱼电子邮件，此举很可能是为了收集信息，但同时也被用作其他攻击的基础设施。

为了帮助防御者更多地了解该组织的活动，并调整其对Pawn Storm的防御机制，趋势科技研究人员提供了一些该组织所用的更新的技术分析。

匿名化层

为了隐藏自身的踪迹，Pawn Storm使用了各种各样的工具，包括VPN服务、Tor、数据中心IP地址和受损的EdgeOS路由器，这些工具可能也被其他出于经济动机的网络罪犯使用。此外，Pawn Storm已经入侵了世界各地的许多电子邮件帐户，并将其作为发送鱼叉式网络钓鱼邮件的“发射台”。

至少从2019年开始，Pawn Storm就一直在跨地区探索微软Outlook服务器和企业VPN服务器，很可能是试图使用暴力破解方法访问企业和政府账户。

自2020年以来，更多的匿名shell（包括Tor和商业VPN网络）被投入使用，以继续执行扫描和探测操作。这种匿名化层的使用在该组织近年来的鱼叉式网络钓鱼邮件中也有所体现。通常情况下，鱼叉式网络钓鱼邮件是从中东和亚洲的受损电子邮件帐户发送的，这些电子邮件帐户可以从Tor或VPN出口节点通过IMAP（互联网消息访问协议）访问。通过将法国国家网络安全机构ANSSI的数据与趋势科技自己的数据结合起来，研究人员计算出了Pawn Storm在2022年和2023年使用的十多种不同的VPN服务。

【表2：Pawn Storm使用的VPN服务】

Pawn Storm还使用EdgeOS路由器发送鱼叉式网络钓鱼邮件，在Outlook中执行CVE-2023-23397漏洞的回调，以及在凭据网络钓鱼网站上窃取代理凭据。许多这些EdgeOS路由器看起来都有植入物，例如基于python的Waitress和Werkzeug web服务器网关接口，用于利用CVE-2023-23397的端口445上的服务器消息块（SMB）服务器，端口56981上的开放SOCKS5代理，以及侦听非标准高TCP端口的额外Shell（SSH）服务器，如2222、58749和59417。

研究尚未获悉是Pawn Storm自己入侵了这些EdgeOS路由器，还是使用了已被第三方入侵的路由器。然而，研究人员在100多个EdgeOS路由器中观察到了共性，这些路由器似乎受到了损害。

其中一些EdgeOS路由器是制药和约会垃圾邮件、SSH暴力攻击和其他类型滥用的来源。在网络犯罪滥用的同时，Pawn Storm也使用了一个较小的子集。例如，IP地址202.175.177[. ]238于2023年3月在8080端口上植入了Werkzeug植入物，代理了Pawn Storm的凭据盗窃。这实际上意味着Pawn Storm使用的EdgeOS路由器混合了网络犯罪活动，为该组织提供了额外的匿名层。

Net-NTMLv2哈希中继攻击

2023年3月，Outlook修复了严重漏洞CVE-2023-23397。这个漏洞对攻击者来说复杂度很低，不需要任何用户交互，它影响了在Windows上运行的所有版本的Outlook应用程序。攻击涉及将电子邮件消息发送到目标组织，该电子邮件消息带有扩展消息应用程序程序接口（MAPI）属性，并具有通用命名约定（UNC）路径，可以将消息发送到远程攻击者控制的SMB（通过TCP 445）服务器。攻击者远程发送了一个.msg（Outlook中支持提醒的消息格式）后缀的恶意日历邀请，使用PidLidReminderFileParameter（提醒的自定义警报声音选）触发易受攻击的API端点PlayReminderSound。

当受害者连接到攻击者的SMB服务器时，与远程服务器的连接会发送用户的NTLM协议协商消息，其中包含用户的Net-NTLMv2散列，攻击者可以使用该消息对支持NTLM身份验证的其他系统进行身份验证。这种攻击被称为哈希中继攻击。为了实现这一点，攻击者必须在从受害者的机器接收到协商消息后转发它。可能的目标包括来自同一组织和域的Microsoft Exchange服务器。攻击者也可以存储这些哈希值，试图破解它们以获取明文密码，但这个过程在很大程度上取决于密码的复杂性和长度，以防字典和暴力攻击。

Pawn Storm似乎一直在利用这个漏洞，因为它仍然是一个零日漏洞（至少在2022年4月左右）。这些恶意信息是用被黑的电子邮件账户发送的，这些账户主要位于中东和亚洲，与Pawn Storm多年前发起的凭据网络钓鱼活动中使用的账户相似。唯一的区别是，根据遥测数据显示，像Cactus VPN这样的VPN出口节点被用于凭据网络钓鱼活动，使用IMAP（互联网消息访问协议）连接到被入侵的电子邮件帐户，而不是使用CVE-2023-23397的恶意电子邮件。

这些活动至少持续到2023年8月底。从2023年4月开始，Pawn Storm在攻击中使用了更复杂的方法。这些脚本托管在Mockbin（mockbin.org）上，通过电子邮件发送给目标。Mockbin url检查特定的user - agent值和国家代码，之后它可能会将用户重定向到位于免费web托管域的PHP脚本（通常以infinityfreeapp.com结尾，至少从2021年起，Pawn Storm的旧凭据网络钓鱼活动中就一直在滥用该免费网站服务）。

【图1：Pawn Storm的用户名渗漏例程示例】

请注意，Pawn Storm使用了一个强大的过滤系统来阻止安全研究人员，以及自动化脚本来试图确定一个网站是否恶意。

上传到VirusTotal的文件表明，这些攻击还有其他变体，其中一个具有最终有效载荷（SHA256: 52951f2d92e3d547bad86e33c1b0a8622ac391c614efa3c5d167d8a82593717），这是一个PowerShell脚本，有助于窃取Net-NTLMv2哈希值。运行时，脚本留下两个后台进程，在端口8080上向本地主机（localhost）发送请求，如图2所示。这将通过WebDAV触发NTLMv2身份验证，WebDAV是基于HTTP的。

【图2：在端口8080向本地主机发送请求】

然后脚本创建一个HTTP监听器来接收请求：

【图3：用于接收请求的HTTP侦听器】

接下来，生成的进程（客户机）向侦听器脚本（服务器）发送一条NEGOTIATE消息，侦听器脚本（服务器）用一条CHALLENGE消息进行应答。在合法的NTLM身份验证期间，该消息包含一个随机的8字节数，但在这种情况下，攻击者使用固定的字节序列。然后客户端发送一个认证消息到服务器，服务器将其转发到mockbin.org：

【图4：向服务器发送一个AUTHENTICATE消息，该消息被转发到mockbin.org】

研究人员在ftr.com域中使用用户“alice”运行脚本，之后泄露了以下数据包：

【图5：被泄露的数据包】

捕获行动是使用Windows 10 Pro客户端进行的，该客户端之前以默认设置加入了Windows Server 2019域。blob匹配NTLM协议的AUTHENTICATE_MESSAGE，研究人员为此编写了一个kaithai Struct。该数据包包含构建Net-NTLMv2散列字符串所需的所有内容，该散列字符串可用于字典攻击或中继攻击。

Pawn Storm还利用WinRAR漏洞CVE-2023-38831进行了相关的散列中继攻击。

最近的凭据网络钓鱼活动

2023年11月29日至12月11日，Pawn Storm利用webhook网站URL和Mullvad、Whoer和IPVanish的VPN IP地址发送电子邮件，对欧洲各国政府发起了一场凭据网络钓鱼活动。研究人员通过技术指标将此活动与一些Net-NTLMv2哈希中继活动联系起来。例如，在两次竞选活动中使用了相同的计算机名称。该计算机名称还用于发送鱼叉式网络钓鱼邮件和制作LNK文件，这些文件在一些Net-NTLMv2散列中继活动中使用。

【图6：2023年11月和12月，Pawn Storm的凭据网络钓鱼网站使用webhook网址URL】

没有C&C服务器的信息窃取程序

2022年10月，Pawn Storm向一些选定的目标发送了鱼叉式网络钓鱼邮件，其中包括大使馆和其他知名目标。这些电子邮件包括一个简单的小型信息窃取程序作为附件，且没有命令和控制（C&C）服务器可以联系。

【图7：Pawn Storm于2022年10月发送的鱼叉式网络钓鱼邮件，其中包含一个恶意附件，该附件安装了一个简单的信息窃取程序，没有C&C服务器】

一旦安装在受害者的电脑上，该窃取程序就要完全靠自己了。该文件在%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\search.url 中创建一个互联网快捷方式。这使得该文件在Windows启动时运行。每隔一段时间，该信息窃取程序就会查找以下文件：

• . Pdf
• .docx
• .doc
• .xlsx
• .txt
• .zip
• .xls

然后，它通过HTTP PUT请求将这些文件连续上传到免费的文件共享服务free.keep.sh。

【图8：导出文本文件的示例】

对于发送的每个文件，keep.sh都会回复一个URL以访问该文件。文件路径写入到log.txt文件中，防止重新上传。

随后，程序向https://tinyurl.com发送一个GET请求，从cookie集中的XSRF-TOKEN获取值。接下来，它又向https://tinyurl.com/app/api/create发送一个POST请求，为上传到free.keep.sh的每个文件创建一个缩短的URL。发送的JSON如下所示：

【图9：发送的JSON文件】

在这种情况下， 别名字段很重要。这是tinyurl.com/之后的内容，这样攻击者就可以访问被盗文件。20秒的延迟确保每个受害者的别名都是唯一的。

缩短的URL具有固定的格式，该格式是从创建缩短的URL时的时间戳计算出来的。这意味着每天可以创建86,400个不同的缩短URL。Pawn Storm必须对这些URL进行暴力破解，才能到达被盗信息上传的实际位置。这似乎是一种粗糙的信息窃取方式，但是当这样的样本在没有上下文的情况下被发现时，将很难把此恶意软件归因于任何已知的入侵集或威胁参与者。然而，趋势科技研究人员可以基于其传递给目标的方式，将这个信息窃取程序（SHA256: 4f3992b9dbd1c2a64588a5bc23f1b37a12a4355688d6e1a06408ea2449c59368）高可信度地归因于Pawn Storm。

结论与展望

尽管Pawn Storm已经活跃了20年，但它仍然保持着入侵世界各地知名目标的网络和电子邮件的能力和决心。

最近，Pawn Storm一直在使用更先进、更隐蔽的方法，这些方法既复杂又具有侵略性，这使得很难确定受害者的网络在被入侵后发生了什么。

在附录中，研究人员分享了一个广泛的指标列表，可以帮助网络防御者检查他们的组织是否已成为攻击目标。Pawn Storm的TTP相对缓慢的变化可以帮助防御者检测到妥协的初始阶段，即使威胁参与者在后续阶段使用更高级的策略（甚至零日漏洞）。

原文链接：

https://www.trendmicro.com/en_us/research/24/a/pawn-storm-uses-brute-force-and-stealth.html