أثناء مطاردة هدفها، نفذت GruesomeLarch هجمات حشو بيانات الاعتماد التي أدت إلى اختراق كلمات المرور للعديد من الحسابات على منصة خدمة الويب التي يستخدمها موظفو المنظمة. ومع ذلك، فإن المصادقة الثنائية المفروضة على المنصة منعت المهاجمين من اختراق الحسابات.
لذلك، عثر GruesomeLarch على أجهزة في مواقع متجاورة فعليًا، وقام باختراقها، واستخدمها لفحص شبكة Wi-Fi الخاصة بالهدف. وتبين أن بيانات الاعتماد الخاصة بحسابات خدمات الويب المخترقة تعمل أيضًا مع الحسابات الموجودة على شبكة Wi-Fi، ولم تكن هناك حاجة إلى المصادقة الثنائية (2FA).
ولإضفاء مزيد من الازدهار، اخترق المهاجمون أحد الأجهزة المجاورة التي تدعم خدمة الواي فاي من خلال استغلال ما كان في أوائل عام 2022 بمثابة ثغرة أمنية. ثغرة يوم الصفر في Microsoft Home windows Print Spooler.
يوضح اختراق 2022 كيف يمكن لافتراض واحد خاطئ أن يبطل دفاعًا فعالاً. لأي سبب من الأسباب – على الأرجح افتراض أن المصادقة الثنائية على شبكة Wi-Fi لم تكن ضرورية لأن الهجمات تتطلب مسافة قريبة – قام الهدف بنشر المصادقة الثنائية على منصة خدمات الويب المتصلة بالإنترنت (لم يذكر Adair نوعها) ولكن ليس على شبكة Wi-Fi. شبكة فاي. أدى هذا الإشراف في نهاية المطاف إلى نسف ممارسة أمنية قوية.
مجموعات التهديد المستمر المتقدمة مثل GruesomeLarch – وهي جزء من GRU APT الأكبر بكثير بأسماء تشمل Fancy Bear وAPT28 وForrest Blizzard وSofacy – تتفوق في العثور على هذه الأنواع من عمليات المراقبة واستغلالها.
Volixity بريد يوفر وصف هجوم 2022 الكثير من التفاصيل الفنية حول التسوية على الروابط العديدة في تدفق الهجوم التسلسلي المتطور هذا. هناك أيضًا نصائح مفيدة لحماية الشبكات من هذه الأنواع من التنازلات.
