俄罗斯黑客 APT28 利用附近 WiFi 入侵美国公司

admin 2024年11月23日11:05:24评论65 views字数 1474阅读4分54秒阅读模式

俄罗斯黑客 APT28 利用附近 WiFi 入侵美国公司

Volexity 发现了俄罗斯 APT 组织“GruesomeLarch”(也跟踪到 APT28、Fancy Bear 和 Forest Blizzard)发起的一项新型网络间谍活动。

该组织利用了企业 WiFi 网络的弱点,采用了 Volexity 所称的“最近邻居攻击”。这种技术使攻击者能够从物理上与目标相邻的组织访问敏感网络。

这一发现始于 2022 年 2 月,就在俄罗斯入侵乌克兰之前,当时 Volexity 检测到“组织 A”的网络存在异常活动,“组织 A”是一家参与乌克兰相关项目的未公开客户。

初步调查显示,尽管远在千里之外,攻击者仍侵入了该组织的企业 WiFi 网络。通过瞄准附近的组织,攻击者利用双宿主系统(连接到有线和无线网络的设备)远程弥合与组织 A 的 WiFi 之间的差距。

https://www.volexity.com/blog/2024/11/22/the-nearest-neighbor-attack-how-a-russian-apt-weaponized-nearby-wi-fi-networks-for-covert-access/

俄罗斯黑客 APT28 利用附近 WiFi 入侵美国公司

此次活动突显了 GruesomeLarch 如何在关键的地缘政治时刻瞄准与乌克兰相关的工作,依靠“离地攻击”技术和 Windows 零日特权提升漏洞 (CVE-2022-38028) 来保持访问权限。

观察到的技术和工具(包括使用名为“GooseEgg”的后入侵工具)让 Volexity 确信此次攻击活动是 GruesomeLarch 所为。该组织细致的战术和战略性目标进一步巩固了其作为与俄罗斯国家利益相关的高优先级网络间谍行为者的地位。

GruesomeLarch 的行动涉及多个组织:

  1. 初始访问:攻击者对组织 A 面向公众的服务发起密码喷洒攻击,通过利用仅需要有效凭证的 WiFi 系统绕过 MFA。

  2. 横向移动:在攻破附近的组织(例如组织 B)后,攻击者将目标对准了连接到以太网和 WiFi 网络的双宿主系统。这些系统充当了组织 A 的 WiFi 的入口点。

  3. 凭证利用:利用面向互联网的服务强行获取的凭证,攻击者通过位于外部窗户附近的 WiFi 接入点验证进入组织 A 的网络。

攻击者利用 PowerShell 脚本等工具来识别范围内的 WiFi 网络,并使用 Cipher.exe 等原生 Windows 实用程序安全地擦除其活动的取证痕迹。

俄罗斯黑客 APT28 利用附近 WiFi 入侵美国公司

此次攻击给调查人员带来了多重挑战。例如,对调查至关重要的文件被 Cipher.exe 删除,从而安全地覆盖了数据。

攻击者还操纵 IP 和 MAC 地址日志,从而逃避传统系统的检测。

即使在检测和补救之后,攻击者仍利用访客 WiFi 和其他被忽视的漏洞重新获得访问权限。

最终,详细的无线控制器日志和与邻近组织的协调揭示了攻击的全部范围。GruesomeLarch 通过菊花链方式访问多个组织(组织 B 和可能的组织 C),以实现其目标。

此次攻击表明,WiFi 网络的安全防护需要加强,因为攻击者需要接近目标,因此 WiFi 网络的防护通常不如电子邮件或 VPN 系统那么严格。

此次攻击活动利用地理位置相邻的组织作为跳板,凸显了在物理上距离较近的企业面临的新风险。

为了减轻类似的威胁,Volexity 建议:

  • 为 WiFi 网络实施多因素身份验证 (MFA) 或基于证书的解决方案。

  • 隔离 WiFi 和有线网络访问,尤其是敏感资源。

  • 监控并标记 Cipher.exe 和 Netsh 等工具的使用情况,以防可能被滥用。

  • 自定义检测 C:ProgramData 等目录中的异常文件活动。

  • 检查网络流量是否存在异常的 SMB 文件传输或与凭证相关的泄露。

原文始发于微信公众号(网络研究观):俄罗斯黑客 APT28 利用附近 WiFi 入侵美国公司

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月23日11:05:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   俄罗斯黑客 APT28 利用附近 WiFi 入侵美国公司https://cn-sec.com/archives/3427368.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息