Secondo l’FBI, un nuovo gruppo dell’APT ha recentemente attaccato il server web di un governo municipale degli Stati Uniti. Dopo aver ottenuto l’accesso al server dell’organizzazione del governo locale, il gruppo è riuscito a spostarsi lateralmente attraverso la rete.
Cos’è successo?
Il gruppo ha sfruttato un’appliance Fortigate per accedere a un server Web e ha creato un nuovo controller di dominio, server e account utente della workstation imitando quelli esistenti.
- L’FBI ha osservato che gli aggressori hanno creato WADGUtilityAccount e account “elie” su sistemi mirati per la raccolta e l’esfiltrazione dei dati.
- Il gruppo APT non si rivolge a nessun settore specifico, ma mira a un’ampia gamma di vittime in più settori, suggerendo che l’attività è finalizzata allo sfruttamento delle vulnerabilità nei prodotti commerciali.
- Inoltre, il gruppo APT ha utilizzato diversi strumenti come Mimikatz, MinerGate, WinPEAS, SharpWMI, BitLocker, WinRAR e FileZilla per servire vari obiettivi o attività.
L’FBI ha continuamente emesso avvertimenti contro i gruppi APT sponsorizzati dallo stato che sfruttano le vulnerabilità di Fortinet, posizione chiarita sul blog ufficiale, e di altri prodotti aziendali da diversi mesi. Oltre alla correzione immediata delle vulnerabilità sfruttabili, l’FBI ha suggerito alle organizzazioni di rivedere frequentemente controller di dominio, server e workstation per nuovi account utente. Questi avvertimenti devono essere presi sul serio e devono essere intraprese azioni immediate.