美國國家安全局稱(chēng)俄羅斯GRU黑客使用Kubernetes攻擊

美國國家安全局稱(chēng)俄羅斯GRU黑客使用Kubernetes發(fā)起暴露破解攻擊。

美國國家安全局(NSA)發(fā)布安全公告稱(chēng)，俄羅斯政府黑客正通過(guò)暴力破解攻擊來(lái)訪(fǎng)問(wèn)美國網(wǎng)絡(luò )，竊取郵件和文件。

7月1日，美國國家安全局發(fā)布安全公告稱(chēng)，俄羅斯GRU第85特種服務(wù)中心(Main Special Service Center，GTsSS)，第26165部隊，自2019年開(kāi)始使用Kubernetes集群對美國政府和國防部機構以及其他外國組織進(jìn)行密碼填充攻擊。

GTsSS惡意網(wǎng)絡(luò )攻擊活動(dòng)之前使用的名字包括Fancy Bear、APT 28、Strontium等。該組織對使用office 365的組織進(jìn)行了大量的攻擊活動(dòng)。

從暴力破解到入侵網(wǎng)絡(luò )

暴力破解攻擊的目標是微軟365這樣的云服務(wù)，通過(guò)暴力破解攻擊來(lái)入侵相關(guān)的賬號，隨后利用已知的漏洞來(lái)獲取企業(yè)或政府網(wǎng)絡(luò )的訪(fǎng)問(wèn)權限。

在攻擊過(guò)程中，該組織使用了多個(gè)不同的漏洞利用，包括Microsoft Exchange CVE-2020-0688和CVE-2020-17144遠程代碼執行漏洞。

NSA稱(chēng)，攻擊者在獲得訪(fǎng)問(wèn)權限后，就會(huì )在網(wǎng)絡(luò )中進(jìn)行傳播，并部署reGeorg web shell進(jìn)行駐留、獲取其他憑證、以及竊取文件。

攻擊者在獲得相關(guān)憑證的訪(fǎng)問(wèn)權限后，可以竊取office 365郵箱的收件箱和遠程計算機中的其他數據。

暴力破解攻擊活動(dòng)的攻擊流如下所示：

為隱藏攻擊源，攻擊者用來(lái)執行暴力破解攻擊的Kubernetes集群還使用了Tor和虛擬網(wǎng)絡(luò )服務(wù)，包括Cactus虛擬網(wǎng)絡(luò ), IPVanish, 虛擬網(wǎng)絡(luò ), Proton虛擬網(wǎng)絡(luò ), Surfshark和World虛擬網(wǎng)絡(luò )。

NSA稱(chēng)，2020年11月到2021年3月之間，黑客的暴力破解攻擊活動(dòng)沒(méi)有使用匿名服務(wù)，暴露了GTsSS黑客使用的Kubernetes集群的部分IP地址：

• 158.58.173[.]40
• 185.141.63[.]47
• 185.233.185[.]21
• 188.214.30[.]76
• 195.154.250[.]8993.115.28[.]161
• 95.141.36[.]180
• 77.83.247[.]81
• 192.145.125[.]42
• 193.29.187[.]60

被攻擊的美國和其他外國機構主要位于歐洲和美國，包括：

• 政府和軍事組織;
• 政策咨詢(xún)和黨派組織;
• 國防供應商;
• 能源公司;
• 物流公司;
• 智庫;
• 高等教育機構;
• 法律公司;
• 媒體公司。

在問(wèn)及是否有美國政府機構被攻破時(shí)，NSA并未公開(kāi)攻擊活動(dòng)中受害者的詳細情況。

防御措施

NSA建議相關(guān)機構：

• 使用多因子認證和定期重新認證;
• 在需要使用口令認證時(shí)啟用超時(shí)和鎖定特征;
• 限制被竊憑證的使用;
• 使用零信任安全模型。

更多參見(jiàn)NSA安全公告：

https://www.nsa.gov/news-features/press-room/Article/2677750/nsa-partners-release-cybersecurity-advisory-on-brute-force-global-cyber-campaign/

參考及來(lái)源：https://www.bleepingcomputer.com/news/security/nsa-russian-gru-hackers-use-kubernetes-to-run-brute-force-attacks/如若轉載，請注明原文地址。

【編輯推薦】