Das Cybersicherheitsunternehmen Volexity hat eine besorgniserregende neue Angriffstechnik der bekannten APT28-Gruppe (auch als Fancy Bear oder Sofacy bekannt) aufgedeckt. Die als „Nearest Neighbor Attack“ bezeichnete Methode ermöglicht es den Angreifern, Unternehmensnetzwerke aus der Ferne zu kompromittieren, indem sie sich über benachbarte Wi-Fi-Infrastrukturen Zugang verschaffen.
Innovative Angriffsstrategie durch physische Proximität
Die Angreifer nutzen einen mehrstufigen Ansatz, bei dem zunächst Organisationen in unmittelbarer Nähe des eigentlichen Ziels infiltriert werden. Diese kompromittierten Standorte dienen dann als Sprungbrett, um sich in das Wi-Fi-Netzwerk des Hauptziels einzuklinken. Diese Technik überwindet die traditionelle Notwendigkeit einer physischen Präsenz vor Ort und ermöglicht Angriffe aus großer Entfernung.
Dokumentierter Angriffsfall in Washington
Die Sicherheitsforscher von Volexity, die die Gruppe unter dem Codenamen GruesomeLarch beobachten, dokumentierten am 4. Februar 2022 einen erfolgreichen Angriff auf einen Server in Washington. Die initiale Kompromittierung erfolgte durch Password Spraying, wurde jedoch durch implementierte Multi-Faktor-Authentifizierung (MFA) erschwert.
Technische Durchführung und Lateral Movement
Die Angreifer identifizierten ein Gerät in Reichweite, das Verbindungen zu drei Access Points der Zielorganisation aufbauen konnte. Mittels RDP-Protokoll und nicht-privilegierter Zugangsdaten führten sie laterale Bewegungen im Netzwerk durch. Zur Verschleierung ihrer Aktivitäten nutzten sie native Windows-Tools, insbesondere servtask.bat zur Extraktion kritischer Registry-Schlüssel.
Bestätigung der APT28-Attribution
Ein Microsoft-Bericht vom April 2024 bestätigte die Zuordnung zu APT28 durch übereinstimmende Indicators of Compromise (IoCs). Zusätzlich wurde die Ausnutzung der Schwachstelle CVE-2022-38028 im Windows Print Spooler-Dienst zur Privilegien-Eskalation nachgewiesen.
Diese neue Angriffsmethode verdeutlicht die kontinuierliche Evolution von Cyber-Bedrohungen und unterstreicht die Notwendigkeit einer ganzheitlichen Sicherheitsstrategie. Organisationen sollten ihre Wi-Fi-Infrastruktur durch strikte Zugriffskontrollen absichern, MFA flächendeckend implementieren und regelmäßige Sicherheitsaudits durchführen. Besondere Aufmerksamkeit sollte dabei der Überwachung von Netzwerkaktivitäten in physisch angrenzenden Bereichen gewidmet werden. Die Installation von Wireless Intrusion Prevention Systems (WIPS) und die Implementierung von Network Access Control (NAC) sind weitere empfehlenswerte Schutzmaßnahmen.
