美英網(wǎng)絡(luò )安全機構抨擊APT28發(fā)起大規模網(wǎng)絡(luò )攻擊

在英美網(wǎng)絡(luò )安全機構的一份聯(lián)合聲明中，俄羅斯網(wǎng)絡(luò )犯罪組織 APT28 被指控發(fā)起了多次大規模網(wǎng)絡(luò )攻擊。Security Affairs 指出：當局在 2019 年中至 2021 年初這段時(shí)間內，發(fā)現了針對全球諸多政府組織與企業(yè)的網(wǎng)絡(luò )犯罪活動(dòng)，涉及能源、智庫、以及國防承包商等領(lǐng)域。

具體說(shuō)來(lái)是，黑客利用了 Kubernetes 集群開(kāi)展匿名暴力攻擊，并且借助商業(yè)虛擬專(zhuān)用網(wǎng)或暗網(wǎng)來(lái)進(jìn)一步隱匿自身的蹤跡。

美國國家安全局(NSA)在公告中稱(chēng)，該網(wǎng)絡(luò )犯罪組織正在全球范圍內展開(kāi)暴力攻擊活動(dòng)，以企業(yè)和云環(huán)境造成了極大的危害。受害者中包括了美國境內的數百個(gè)政企網(wǎng)絡(luò )，其遭到了境外組織的滲透。

美國聯(lián)邦調查局(FBI)指出，APT 組織主要針對 Microsoft Office365 在線(xiàn)服務(wù)、以及由第三方服務(wù)提供商托管的內部電子郵件服務(wù)器展開(kāi)行動(dòng)，且專(zhuān)家們認為該組織仍未收手。

攻擊手段方面，APT 組織利用了包括 NTLM、POP3、HTTP(S)、以及 IMAP(S)在內的一系列協(xié)議，并且試圖通過(guò)各種 TTP 組合來(lái)掩飾自身的蹤跡。即便如此，仍有許多惡意活動(dòng)可被檢測出來(lái)。

在某些情況下，APT 組織會(huì )利用之前泄露的登錄憑據、或猜測各種常用的密碼。據某位專(zhuān)家所述，攻擊者還在利用軟件容器手段，以使其暴力嘗試更易于擴展。

在發(fā)現了必要的憑據之后，網(wǎng)絡(luò )犯罪團伙會(huì )進(jìn)一步利用諸多已知漏洞(包括 CVE-2020-0688 和 CVE-2020-17144 Microsoft Exchange 漏洞)來(lái)進(jìn)一步滲透目標網(wǎng)絡(luò )。