五眼联盟称俄网络间谍通过休眠账户盯上云基础设施

五眼国家政府机构发出的最新警告称，随着组织机构转向基于云的基础设施，俄罗斯网络间谍威胁行为者正在适应并转向以云服务为目标。

美国、加拿大、英国、澳大利亚和新西兰的网络安全和执法机构发布联合警报，呼吁紧急关注与 APT29/Cozy Bear/Midnight Blizzard（一个臭名昭著的黑客组织）相关的最新策略、技术和程序 (TTP)。俄罗斯情报部门（SVR）。

据观察，SVR 参与者并没有利用软件漏洞来攻击本地基础设施，而是发起暴力破解和密码喷射攻击来破坏服务帐户，以及针对前员工的休眠帐户来访问目标组织的环境。

此外，还发现臭名昭著的 APT 组织使用令牌访问受害者帐户，并使用一种称为“MFA 轰炸”或“MFA 疲劳”的技术绕过多重身份验证 (MFA)。

初次访问后，攻击者通常会将自己的设备注册到受害者的网络，并部署复杂的攻击后工具。

此外，黑客还依靠住宅代理来隐藏其恶意活动，使流量看起来像是来自住宅宽带客户的 IP 地址。

为了降低泄露风险，建议组织实施 MFA，为每个帐户使用强而唯一的密码，实施最小权限原则，创建金丝雀服务帐户并对其进行监控，确保会话的生命周期较短，将设备注册策略配置为仅允许授权设备，并使用应用程序事件和基于主机的日志来检测恶意行为。

“对于已经迁移到云基础设施的组织来说，针对 SVR 等参与者的第一道防线应该是防止 SVR 的 TTP 进行初始访问。缓解 SVR 的初始访问向量对于网络防御者来说尤其重要，”警报称。

原文始发于微信公众号（河南等级保护测评）：五眼联盟称俄网络间谍通过休眠账户盯上云基础设施