美英網絡安全機構抨擊APT28發起大規模網絡攻擊
在英美網絡安全機構的一份聯合聲明中,俄羅斯網絡犯罪組織APT28被指控發起了多次大規模網絡攻擊。Security Affairs指出:當局在2019年中至2021年初這段時間內,發現了針對全球諸多政府組織與企業的網絡犯罪活動,涉及能源、智庫、以及國防承包商等領域。
具體說來是,黑客利用了Kubernetes 集群開展匿名暴力攻擊,並且借助商業虛擬專用網或暗網來進一步隱匿自身的踪跡。
美國國家安全局(NSA)在公告中稱,該網絡犯罪組織正在全球範圍內展開暴力攻擊活動,以企業和雲環境造成了極大的危害。受害者中包括了美國境內的數百個政企網絡,其遭到了境外組織的滲透。
美國聯邦調查局(FBI)指出,APT組織主要針對Microsoft Office 365在線服務、以及由第三方服務提供商託管的內部電子郵件服務器展開行動,且專家們認為該組織仍未收手。
攻擊手段方面,APT 組織利用了包括NTLM、POP3、HTTP(S)、以及IMAP(S)在內的一系列協議,並且試圖通過各種TTP 組合來掩飾自身的踪跡。即便如此,仍有許多惡意活動可被檢測出來。
在某些情況下,APT 組織會利用之前洩露的登錄憑據、或猜測各種常用的密碼。據某位專家所述,攻擊者還在利用軟件容器手段,以使其暴力嘗試更易於擴展。
在發現了必要的憑據之後,網絡犯罪團伙會進一步利用諸多已知漏洞(包括CVE-2020-0688 和CVE-2020-17144 Microsoft Exchange 漏洞)來進一步滲透目標網絡。
到了這一步,攻擊者已經能夠更好地躲避網絡防禦、獲取並轉移信息,而不會被受害者給發現。