导 读
俄罗斯黑客组织 APT28(Fancy Bear/Forest Blizzard/Sofacy)利用一种名为“Nearest Neighbor Attack(最近邻攻击)”的新技术,通过数千英里之外的企业 WiFi 网络入侵了一家美国公司。
APT28 是俄罗斯总参谋部情报总局 (GRU) 26165 军事单位的一部分,自 2004 年以来一直开展网络行动。
该组织首先攻击了 WiFi 范围内附近建筑物内的组织,然后转向目标。
攻击在 2022 年 2 月 4 日首次发现,当时网络安全公司 Volexity 检测到华盛顿特区一个正在进行乌克兰相关工作的客户站点的服务器遭到入侵。
Volexity 追踪到的黑客名为 GruesomeLarch,他们首先通过针对受害者面向公众的服务发起密码喷洒攻击,获取了目标企业 WiFi 网络的凭证。
但多重身份验证 (MFA) 保护的存在阻止了在公共网络上使用这些凭据。虽然通过企业 WiFi 连接不需要 MFA,但“与受害者相隔数千英里和一片海洋”是一个问题。
因此,黑客们变得富有创造力,开始寻找附近建筑物中可以作为目标无线网络支点的组织。
其想法是入侵另一个组织,并在其网络上寻找具有有线和无线连接的双主设备。此类设备(例如笔记本电脑、路由器)将允许黑客使用其无线适配器并连接到目标的企业 WiFi。
Volexity发现,APT28 在这次攻击中入侵了多个组织,并使用有效的访问凭证以菊花链方式连接这些组织。最终,他们在适当的范围内找到了一个设备,可以连接到受害者会议室窗户附近的三个无线接入点。
使用非特权帐户的远程桌面连接 (RDP),攻击者能够在目标网络上横向移动,搜索感兴趣的系统并窃取数据。
黑客运行servtask.bat来转储 Windows 注册表配置单元(SAM、安全和系统),并将其压缩为 ZIP 存档以供泄露。
攻击者通常依靠原生 Windows 工具来在收集数据时将其占用空间降至最低。
由于调查过程中存在多重复杂性,Volexity 无法将此次攻击归咎于任何已知的威胁行为者。
但微软今年 4 月的一份报告明确指出这一点,因为它包含的入侵指标 (IoC) 与 Volexity 的观察结果相重叠,并指向俄罗斯威胁组织。
根据微软报告中的详细信息,APT28 很可能通过利用受害者网络中的 Windows Print Spooler 服务中的0day漏洞 CVE-2022-38028 来提升权限,然后运行关键负载。
APT28 的“附近邻居攻击”表明,近距离接触行动(通常需要靠近目标(例如停车场))也可以从远处进行,并且消除了被身体识别或抓住的风险。
技术报告:
https://www.volexity.com/blog/2024/11/22/the-nearest-neighbor-attack-how-a-russian-apt-weaponized-nearby-wi-fi-networks-for-covert-access/
https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials/
新闻链接:
https://www.bleepingcomputer.com/news/security/hackers-breach-us-firm-over-wi-fi-from-russia-in-nearest-neighbor-attack/
今日安全资讯速递
APT事件
Advanced Persistent Threat
与俄罗斯有关的 TAG-110 已针对亚洲和欧洲的 60 多个目标
https://www.securityweek.com/russian-cyberespionage-group-hit-60-victims-in-asia-europe/
黑客利用新型 WolfsBane 恶意软件攻击 Linux
https://www.bleepingcomputer.com/news/security/chinese-gelsemium-hackers-use-new-wolfsbane-linux-malware/
APT-K-47 使用朝觐主题诱饵传播高级 Asyncshell 恶意软件
https://thehackernews.com/2024/11/apt-k-47-uses-hajj-themed-lures-to.html
俄罗斯 APT28 组织利用“Nearest Neighbor Attack(最近邻攻击)”的新技术针对美国
https://www.bleepingcomputer.com/news/security/hackers-breach-us-firm-over-wi-fi-from-russia-in-nearest-neighbor-attack/
一般威胁事件
General Threat Incidents
网络攻击破坏美国博彩巨头 IGT 的系统
https://www.securityweek.com/cyberattack-disrupts-systems-of-gambling-giant-igt/
美国取缔盗窃信用卡交易市场 PopeyeTools
https://www.securityweek.com/us-takes-down-stolen-credit-card-marketplace-popeyetools/
微软查获埃及网络钓鱼服务行动“ONNX”使用的 240 个网站
https://therecord.media/microsoft-seizes-websites-onnx-phishing
持续攻击活动中超过 2,000 台 Palo Alto Networks 设备遭黑客入侵
https://thehackernews.com/2024/11/warning-over-2000-palo-alto-networks.html
CISA 称 BianLian 勒索软件目前仅专注于数据盗窃
https://www.bleepingcomputer.com/news/security/cisa-says-bianlian-ransomware-now-focuses-only-on-data-theft/
制造业成为高级电子邮件攻击的目标
https://www.infosecurity-magazine.com/news/manufacturing-advanced-email/
漏洞事件
Vulnerability Incidents
7-Zip 受到危险漏洞影响:用户必须手动更新应用程序
https://cybernews.com/security/7-zip-affected-by-dangerous-vulnerability/
AnyDesk 存在严重漏洞,攻击者可获知用户 IP 地址
https://cybersecuritynews.com/critical-anydesk-vulnerability-let-attackers-uncover-user-ip-address/
40 万个系统可能面临 2023 年最易被利用的漏洞
https://www.securityweek.com/400000-systems-potentially-exposed-to-2023s-most-exploited-flaws/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):俄罗斯 APT28 组织利用“Nearest Neighbor Attack(最近邻攻击)”的新技术针对美国
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论