Специалисты компании Volexity раскрыли новую тактику кибератак, применяемую известной хакерской группировкой APT28 (также известной как Fancy Bear и Sofacy). Злоумышленники разработали методику удаленного проникновения в корпоративные Wi-Fi сети, получившую название «атака на ближайшего соседа» (nearest neighbor attack).
Механизм проведения атаки
Суть атаки заключается в последовательной компрометации организаций, находящихся в физической близости от основной цели. Хакеры используют скомпрометированные устройства в соседних зданиях как плацдарм для подключения к Wi-Fi сети целевой компании. Данный метод позволяет злоумышленникам осуществлять атаки, традиционно требующие физического присутствия, находясь за тысячи километров от цели.
Детали успешного проникновения
Исследователи Volexity, отслеживающие группировку под именем GruesomeLarch, зафиксировали успешную атаку 4 февраля 2022 года на сервер, расположенный в Вашингтоне. Первоначально злоумышленники получили доступ к учетным данным корпоративной сети через атаки типа password spraying. Однако наличие многофакторной аутентификации (МФА) заставило их искать обходные пути.
Техническая реализация
APT28 удалось обнаружить устройство в необходимом радиусе действия, способное подключаться к трем точкам доступа целевой организации. Используя протокол RDP с непривилегированной учетной записи, хакеры осуществили латеральное перемещение по сети. Для минимизации следов они применяли встроенные инструменты Windows, включая servtask.bat для извлечения критически важных ветвей реестра.
Идентификация атакующих
Окончательное подтверждение причастности APT28 к атаке пришло после публикации отчета Microsoft в апреле 2024 года. В документе были представлены индикаторы компрометации, совпадающие с наблюдениями Volexity. Также было установлено использование уязвимости CVE-2022-38028 в службе Windows Print Spooler для повышения привилегий.
Данный инцидент демонстрирует эволюцию методов кибератак и подчеркивает необходимость комплексного подхода к защите корпоративных сетей. Организациям рекомендуется усилить контроль за беспроводной инфраструктурой, внедрить многофакторную аутентификацию на всех уровнях доступа и регулярно проводить аудит сетевой безопасности, учитывая возможность атак через соседние организации.
