Volexity 发现了俄罗斯 APT 组织“GruesomeLarch”(也跟踪到 APT28、Fancy Bear 和 Forest Blizzard)发起的一项新型网络间谍活动。
该组织利用了企业 WiFi 网络的弱点,采用了 Volexity 所称的“最近邻居攻击”。这种技术使攻击者能够从物理上与目标相邻的组织访问敏感网络。
这一发现始于 2022 年 2 月,就在俄罗斯入侵乌克兰之前,当时 Volexity 检测到“组织 A”的网络存在异常活动,“组织 A”是一家参与乌克兰相关项目的未公开客户。
初步调查显示,尽管远在千里之外,攻击者仍侵入了该组织的企业 WiFi 网络。通过瞄准附近的组织,攻击者利用双宿主系统(连接到有线和无线网络的设备)远程弥合与组织 A 的 WiFi 之间的差距。
https://www.volexity.com/blog/2024/11/22/the-nearest-neighbor-attack-how-a-russian-apt-weaponized-nearby-wi-fi-networks-for-covert-access/
此次活动突显了 GruesomeLarch 如何在关键的地缘政治时刻瞄准与乌克兰相关的工作,依靠“离地攻击”技术和 Windows 零日特权提升漏洞 (CVE-2022-38028) 来保持访问权限。
观察到的技术和工具(包括使用名为“GooseEgg”的后入侵工具)让 Volexity 确信此次攻击活动是 GruesomeLarch 所为。该组织细致的战术和战略性目标进一步巩固了其作为与俄罗斯国家利益相关的高优先级网络间谍行为者的地位。
GruesomeLarch 的行动涉及多个组织:
-
初始访问:攻击者对组织 A 面向公众的服务发起密码喷洒攻击,通过利用仅需要有效凭证的 WiFi 系统绕过 MFA。
-
横向移动:在攻破附近的组织(例如组织 B)后,攻击者将目标对准了连接到以太网和 WiFi 网络的双宿主系统。这些系统充当了组织 A 的 WiFi 的入口点。
-
凭证利用:利用面向互联网的服务强行获取的凭证,攻击者通过位于外部窗户附近的 WiFi 接入点验证进入组织 A 的网络。
攻击者利用 PowerShell 脚本等工具来识别范围内的 WiFi 网络,并使用 Cipher.exe 等原生 Windows 实用程序安全地擦除其活动的取证痕迹。
此次攻击给调查人员带来了多重挑战。例如,对调查至关重要的文件被 Cipher.exe 删除,从而安全地覆盖了数据。
攻击者还操纵 IP 和 MAC 地址日志,从而逃避传统系统的检测。
即使在检测和补救之后,攻击者仍利用访客 WiFi 和其他被忽视的漏洞重新获得访问权限。
最终,详细的无线控制器日志和与邻近组织的协调揭示了攻击的全部范围。GruesomeLarch 通过菊花链方式访问多个组织(组织 B 和可能的组织 C),以实现其目标。
此次攻击表明,WiFi 网络的安全防护需要加强,因为攻击者需要接近目标,因此 WiFi 网络的防护通常不如电子邮件或 VPN 系统那么严格。
此次攻击活动利用地理位置相邻的组织作为跳板,凸显了在物理上距离较近的企业面临的新风险。
为了减轻类似的威胁,Volexity 建议:
-
为 WiFi 网络实施多因素身份验证 (MFA) 或基于证书的解决方案。
-
隔离 WiFi 和有线网络访问,尤其是敏感资源。
-
监控并标记 Cipher.exe 和 Netsh 等工具的使用情况,以防可能被滥用。
-
自定义检测 C:ProgramData 等目录中的异常文件活动。
-
检查网络流量是否存在异常的 SMB 文件传输或与凭证相关的泄露。
原文始发于微信公众号(网络研究观):俄罗斯黑客 APT28 利用附近 WiFi 入侵美国公司
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论