今天小編分享的互聯網經驗:亞馬遜查獲使用惡意遠程桌面操作以竊取數據的網域名,歡迎閱讀。
據悉,亞馬遜已查獲了俄羅斯 APT29 黑客組織用于針對政府和軍事組織進行針對性攻擊的網域名,以使用惡意遠程桌面操作連接檔案竊取 Windows 憑據和數據。
APT29,也被稱為 " 舒适熊 " 和 " 午夜暴雪 ",是一個由俄羅斯國家支持的網絡間諜組織,與俄羅斯對外情報局 ( SVR ) 有聯系。亞馬遜澄清說,盡管 APT29 使用的網絡釣魚頁面被偽裝成 AWS 網域,但亞馬遜或其雲平台的憑證都不是這些攻擊的直接目标。
其公告中寫道:" 他們使用的一些網域名試圖欺騙目标,讓人們相信這些網域是 AWS 網域(但事實并非如此),但亞馬遜不是目标,該組織也不是目标 AWS 客戶憑證。相反,APT29 通過 Microsoft 遠程桌面尋找目标的 Windows 憑據。"
威脅者以針對全球政府、智庫和研究機構的高度復雜的攻擊而聞名,通常使用網絡釣魚和惡意軟體來竊取敏感信息。
全球範圍内的目标組織
盡管 APT29 最近的活動在烏克蘭產生了重大影響,但其範圍很廣泛,并針對多個被視為俄羅斯對手的國家。
亞馬遜指出,在這次特定的活動中,APT29 遵循其典型的 " 窄目标 " 策略的相反方法,向比平常更多的目标發送了網絡釣魚電子郵件。烏克蘭計算機緊急響應小組 ( CERT-UA ) 發布了有關這些 " 流氓 RDP" 附件的公告,以警告他們在 "UAC-0215" 下跟蹤的大規模電子郵件活動。
這些消息的主題是解決亞馬遜和微軟服務的 " 集成 " 問題以及實施 " 零信任 " 網絡安全架構(零信任架構,ZTA)。
這些電子郵件包含 RDP(遠程桌面協定)連接檔案,其名稱如 " 零信任安全環境合規性檢查 .rdp",打開時會自動啟動與惡意伺服器的連接。
惡意 RDP 配置螢幕
從上面這些 RDP 連接配置檔案之一的影像可以看出,它們與攻擊者控制的 RDP 伺服器共享所有本地資源,包括:
·本地磁盤和檔案
·網絡資源
·印表機
·COM 端口
·音頻設備
·剪貼板
此外,UA-CERT 表示,它們還可以用于在受感染的設備上執行未經授權的程式或腳本。
共享驅動器和設備被重定向到攻擊者的 RDP 伺服器
雖然亞馬遜表示,該活動用于竊取 Windows 憑據,但由于目标的本地資源與攻擊者的 RDP 伺服器共享,因此威脅者也可以直接從共享設備竊取數據。
這包括存儲在目标硬碟、Windows 剪貼板和映射網絡共享上的所有數據。 CERT-UA 建議應仔細檢查其公告 IoC 部分中共享的 IP 地址的網絡互動日志,以檢測可能的攻擊或違規迹象。此外,建議采取以下措施來減少攻擊面:
1. 在郵件網關處阻止 ".rdp" 檔案。
2. 防止用戶在不需要時啟動任何 ".rdp" 檔案。
3. 配置防火牆設定以限制從 mstsc.exe 程式到外部網絡資源的 RDP 連接。
4. 配置組策略以通過 RDP 禁用資源重定向(" 遠程桌面服務 "->" 遠程桌面會話主機 "->" 設備和資源重定向 "->" 不允許 ...")。
目前,APT29 仍然是俄羅斯最強大的網絡威脅之一,善于使用間諜軟體供應商獨有的漏洞。據透露,去年威脅者攻擊了 TeamViewer、Microsoft 和 Hewlett Packard Enterprise 等重要軟體供應商。
本月早些時候,APT29" 集體 " 就利用 Zimbra 和 JetBrains TeamCity 伺服器漏洞破壞全球重要組織。
