俄罗斯国家黑客 APT28(Fancy Bear/Forest Blizzard/Sofacy)利用一种名为“最近邻攻击”的新技术,通过数千英里之外的企业 WiFi 网络入侵了一家美国公司。
攻击者首先攻击了 WiFi 范围内附近建筑物内的组织,然后转向目标。
此次攻击是在 2022 年 2 月 4 日发现的,当时网络安全公司 Volexity 检测到华盛顿特区一个正在进行乌克兰相关工作的客户站点的服务器遭到入侵。
APT28 是俄罗斯总参谋部情报总局 (GRU) 26165 军事单位的一部分,自 2004 年以来一直开展网络行动。
Volexity 追踪到的黑客名为 GruesomeLarch,他们首先通过针对受害者面向公众的服务发起密码喷洒攻击,获取了目标企业 WiFi 网络的凭证。
然而,多重身份验证 (MFA) 保护的存在阻止了在公共网络上使用这些凭据。虽然通过企业 WiFi 连接不需要 MFA,但“与受害者相隔数千英里”是一个问题。
因此,黑客们变得富有创造力,开始寻找附近建筑物中可以作为目标无线网络支点的组织。其想法是入侵另一个组织,并在其网络上寻找具有有线和无线连接的双主设备。此类设备(例如笔记本电脑、路由器)将允许黑客使用其无线适配器并连接到目标的企业 WiFi。
Volexity发现,APT28 在这次攻击中入侵了多个组织,并使用有效的访问凭证以菊花链方式连接这些组织。最终,他们在适当的范围内找到了一个设备,可以连接到受害者会议室窗户附近的三个无线接入点。
使用非特权帐户的远程桌面连接 (RDP),攻击者能够在目标网络上横向移动,搜索感兴趣的系统并窃取数据。
黑客运行servtask.bat来转储 Windows 注册表配置单元(SAM、安全和系统),并将其压缩为 ZIP 存档以供泄露。
攻击者通常依靠原生 Windows 工具来在收集数据时将其占用空间降至最低。
“Volexity 进一步确定,GruesomeLarch 积极针对组织 A,以收集与乌克兰有关的专业知识和项目的个人的数据” - Volexity
由于调查过程中存在多重复杂性,Volexity 无法将此次攻击归咎于任何已知的攻击者。但微软今年 4 月的一份报告明确指出了这一点,因为它包含的入侵指标 (IoC) 与 Volexity 的观察结果相重叠,并指向俄罗斯威胁组织。
根据微软报告中的详细信息,APT28 很可能通过利用受害者网络中的 Windows Print Spooler 服务中的零日漏洞 CVE-2022-38028 来提升权限,然后运行关键负载。
APT28 的“近邻攻击”表明,近距离接触行动(通常需要靠近目标(例如停车场))也可以从远处进行,并且消除了被身体识别或抓住的风险。
虽然过去几年通过添加 MFA 和其他类型的保护措施,面向互联网的设备已从安全性的提高中受益,但 WiFi 企业网络需要与任何其他远程访问服务一样小心对待。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):近邻攻击:黑客利用俄罗斯 Wi-Fi 攻击美国公司
评论