大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
在一份公开报告中,五眼情报联盟的网络安全机构详细介绍了 APT29(与俄罗斯 SVR 情报部门有联系的臭名昭著的网络间谍组织)所采用的复杂战术、技术和程序 (TTP)。
APT29被称为“Midnight Blizzard”、“Dukes”或“Cozy Bear”等各种绰号,它涉及一系列备受瞩目的网络间谍活动,目标是政府、医疗保健和军事组织等多个部门的云基础设施。
全球威胁
该报告由英国国家网络安全中心 (NCSC) 与美国、澳大利亚、加拿大和新西兰同行共同发布,强调了 APT29 造成的全球威胁。
该组织的活动一直受到全球情报和网络安全界的高度关注,其行动表现出高度的复杂性和对情报收集的明确关注。
APT29 网络间谍策略的演变反映了全球网络安全格局的变化。随着组织越来越多地迁移到基于云的系统,APT29 已调整其策略以利用这些环境。
该通报强调了该组织从传统的本地网络攻击转向更复杂的云服务攻击,表明其战略重点是利用云基础设施固有的漏洞。
复杂的战术揭晓
该报告对 APT29 的作案手法进行了深入分析,揭示了该组织用于渗透云环境的几个关键策略:
-
服务和休眠帐户利用:APT29 已成功使用暴力破解和密码喷射攻击来获取对服务帐户的访问权限,这些帐户通常受到的保护较少且特权较高。此外,该组织还针对休眠账户,利用缺乏定期监控和维护的情况来获得未经授权的访问。
-
基于云的令牌身份验证:攻击者使用窃取的访问令牌,绕过密码的需要,来验证和访问受害者的帐户。该技术强调了在云环境中保护和监控基于令牌的身份验证机制的重要性。
-
MFA 绕过和设备注册:APT29 采用“MFA 轰炸”等策略,通过多个身份验证请求压倒受害者,最终绕过多因素身份验证。他们还在受感染的云租户上注册自己的设备,将自己嵌入到受害者的基础设施中。
-
使用住宅代理:为了避免检测,APT29 使用住宅代理,使其恶意流量看起来来自合法的住宅 IP 地址。这种策略使基于 IP 信誉的恶意活动的识别和阻止变得复杂。
该报告是使用MITRE ATT&CK®框架编写的,该框架是一个基于任何人都可以访问的现实生活观察的敌人战术和方法的知识库。
| 战术 | ID | 技术 | 程序 |
|---|---|---|---|
| 凭证访问 | T1110 | 暴力破解 | SVR 使用密码喷射和暴力破解作为初始感染媒介。 |
| 初始访问 | T1078.004 | 有效账户:云账户 | SVR 使用受损的凭据来访问云服务帐户,包括系统帐户和休眠帐户。 |
| 凭证访问 | T1528 | 窃取应用程序访问令牌 | SVR 在获取帐户访问权限后尝试在云租户上注册其设备。 |
| 凭证访问 | T1621 | 多重身份验证请求生成 | SVR 使用住宅 IP 范围中的开放代理来与访问日志中的预期 IP 地址池混合。 |
| 命令与控制 | T1090.002 | 代理:外部代理 | SVR 使用窃取的访问令牌无需密码即可登录帐户。 |
| 持久化 | T1098.005 | 账户操纵:设备注册 | 获得帐户访问权限后,SVR 尝试在云租户上注册其设备。 |
缓解和防御策略
该建议强调了强大的网络安全基础对于阻止 APT29 的先进策略至关重要。
敦促组织实施多重身份验证、实施强密码策略,并定期审查和禁用不活动帐户。
此外,建议对服务帐户采用最小权限原则并监控会话令牌,以最大程度地降低未经授权访问的风险
五眼联盟将这些复杂的云攻击策略集体归咎于 APT29,这清楚地提醒人们,国家支持的网络间谍组织所构成的持续且不断演变的威胁。
通过分享对 APT29 TTP 的详细见解,该咨询旨在加强全球网络安全防御并防止未来的妥协。
总之,该咨询揭示了 APT29 采用的先进技术,并为组织加强云安全态势提供了可行的指导。
随着网络威胁的演变,国际合作和信息共享对于有效对抗 APT29 等复杂对手仍然至关重要。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):五眼机构曝光俄罗斯 APT29 云攻击策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论