英美机构警告俄罗斯组织进行大规模攻击活动

   
      美国和英国的网络安全机构发布了一份关于与俄罗斯有关联的APT28组织进行的一系列大规模暴力攻击的联合警报。

      该联合警报由美国国家安全局 (NSA)、美国网络安全和基础设施安全局 (CISA)、美国联邦调查局 (FBI) 和英国国家网络安全中心 (NCSC) 发布。

      这些攻击发生在 2019 年年中至 2021 年初之间，这家与俄罗斯有关联的威胁行为者使用Kubernetes 集群对全球数百个政府组织和企业进行匿名暴力访问，包括智囊团、国防承包商、能源公司。

      通过 TOR 网络和商业 VPN 服务（包括 CactusVPN、IPVanish、NordVPN、ProtonVPN、Surfshark 和 WorldVPN）路由蛮力攻击，攻击者仍然处于雷达之下。不使用 TOR 或 VPN 服务的身份验证尝试偶尔也会从 Kubernetes 集群中的节点直接传送到目标

      政府专家将袭击归咎于俄罗斯总参谋部主要情报局 (GRU) 第 85 主要特别服务中心 (GTsSS)，军事单位 26165。

     俄罗斯 GRU 开展全球蛮力运动以破坏企业和云环境” 详细介绍了俄罗斯总参谋部主要情报局 (GRU)第85个 主要特别服务中心 (GTsSS) 如何使用蛮力访问数百个美国和外国组织渗透到政府和私营部门的受害者网络中。” 读咨询由美国国家安全局出版。

     该公告提供了与 GTsSS 相关的战术、技术和程序 (TTP) 的详细信息。

     APT 小组主要针对使用 Microsoft Office 365 云服务的组织，以及使用其他服务提供商和本地电子邮件服务器的目标。专家推测该活动是仍在进行中.

     攻击者进行暴力攻击以发现有效凭据，在某些情况下，他们还使用在过去的漏洞中泄露的凭据或通过最常见密码的变体猜测出来的凭据。专家指出，GTsSS 独特地利用软件容器来轻松扩展其蛮力尝试。

     在发现有效凭据后，GTsSS 会利用各种已知漏洞（Microsoft Exchange 缺陷CVE-2020-0688和CVE-2020-17144）来进一步访问目标网络。民族国家行为者能够逃避防御，收集和泄露网络中的各种信息。

     “攻击者除了使用密码喷射操作外，还结合使用已知的 TTP 来利用目标网络、访问其他凭据、横向移动以及收集、暂存和泄露数据，如下图所示。” 阅读联合报告。“参与者使用了多种协议，包括 HTTP(S)、IMAP(S)、POP3 和 NTLM。攻击者还利用不同的防御规避 TTP 组合来掩饰其行动的某些组成部分；然而，许多检测机会仍然可以用来识别恶意活动。”

     该报告还包括 APT28 网络间谍组织进行的蛮力攻击的妥协指标 (IoC)。该文档还提供了 Yare 规则和缓解措施。