五眼联盟国家政府机构发出的最新警告称,随着组织机构转向基于云的基础设施,俄罗斯网络间谍组织正在适应并转向以云服务为目标。
美国、加拿大、英国、澳大利亚和新西兰的网络安全和执法机构发布联合警报,呼吁紧急关注与俄罗斯情报部门(SVR)相关的 APT29/Cozy Bear/Midnight Blizzard的最新策略、技术和程序 (TTP)。
据观察,俄官方背景的黑客组织并没有利用软件漏洞来攻击本地基础设施,而是发起暴力破解和密码喷射攻击来破坏服务帐户,以及针对前员工的休眠帐户来访问目标组织网络。
此外,还发现臭名昭著的 APT 组织使用令牌访问受害者帐户,并使用一种称为“MFA 轰炸”或“MFA 疲劳”的技术绕过多重身份验证 (MFA)。
初次访问后,攻击者通常会将自己的设备注册到受害者的网络,并部署复杂的攻击后工具。
此外,黑客还依靠住宅代理来隐藏其恶意活动,使流量看起来像是来自住宅宽带客户的 IP 地址。
为了降低泄露风险,建议组织实施 MFA(多因素认证),为每个帐户使用强而独特的密码,实施最小权限原则,创建金丝雀服务帐户并对其进行监控,确保会话的生命周期较短,将设备注册策略配置为仅允许授权设备,并使用应用程序事件和基于主机的日志来检测恶意行为。
“对于已经迁移到云基础设施的组织来说,针对 SVR 等参与者的第一道防线应该是防止 SVR 的 TTP 进行初始访问。缓解 SVR 的初始访问向量对于网络防御者来说尤其重要。”警报称。
英国国家网络安全中心(NCSC)此前评估称,“SVR 极有可能对未经授权访问 SolarWinds Orion 软件和随后的目标负责”,英国政府表示,这是“SVR 更广泛的网络入侵模式的一部分,SVR 此前曾试图获取接触欧洲各国政府和北约成员国。”
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/Szh65tL8LzbArwySiQ-bEw
暂无评论内容