聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
上周四,NSA、FBI和英国国家网络安全中心(NCSC)发布安全公告称,俄罗斯政府间谍组织格鲁乌 (GRU) 正在全球发动暴力攻击。该间谍组织被指为 APT28、Fancy Bear、Pwn Storm、Sednit、Strontium 和 Tsar Team,目前正在攻击全球组织机构。
这些机构指出,该黑客组织正在暴力攻击全球数百家组织机构,尤其是位于欧美国家的政府和军事单位、政治顾问和党派、国防承包商、能源企业、物流企业、智库、大学、律所和媒体公司等。
这些机构还表示,“恶意网络行动者使用暴力攻击技术,通过大量的登录尝试有时是此前被泄露的用户名和密码或者猜测最常用密码的变体来找到有效凭据。虽然该暴力攻击技术并不鲜见,但是唯一利用软件容器轻松将暴力攻击扩大的案例。“
这些暴力攻击似乎始于2019年中期,利用 Kubernetes 集群发起“大规模的、分发式和匿名化的暴力访问尝试。“虽然某些攻击尝试直接从该集群中的节点发起,但在多数情况下这些攻击经由 Tor 网络和多种商业 VPN服务。”
这些暴力攻击中还结合利用了多个已知漏洞如几个月来被很多攻击活动利用过的多个微软 Exchange 缺陷。
英美的这些安全机构表示,虽然该暴力攻击的目标大多是使用 Microsoft 365 云服务的组织机构,但也包括其它服务提供商以及本地邮件服务器。
Mandiant 威胁情报分析副总裁 John Hultquist 指出,“APT28 定期收集了这些目标的情报数据,而这是作为军事情报组织网络单位的职权之一。该组织主要负责的是定期收集政策决定者、外交官、军队和国防行业的情报,而这种事件并不一定总是通过入侵和泄露活动展现。尽管我们已竭尽全力,但不可能阻止莫斯科的间谍行为。这提醒我们 GRU 仍然是正在逼近的威胁,鉴于奥运会即将来临,这一点尤为重要,而且他们可能会试图破坏奥运会。”
这份安全公告包括关于已知 TTPs的信息、检测和缓解建议、IP 地址、用户代理和 Yara 规则。近一年前,微软曾警告称 APT28 正在收集位于英美国家组织机构中上万账户的 Office365 凭据。
推荐阅读
俄罗斯被指为 SolarWinds 供应链事件元凶,技术公司受制裁,常用5大漏洞遭曝光
原文链接
https://www.securityweek.com/security-agencies-russian-cyberspies-used-brute-force-against-hundreds-orgs
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~