美国国家安全局称俄罗斯为俄罗斯GRU黑客使用Kubernetes发起暴露破解攻击。
美国国家安全局(NSA)俄罗斯政府黑客正在通过暴力破解攻击访问美国网络,窃取邮件和文件。
7美国国家安全局于1月1日发布,俄罗斯GRU第85特种服务中心(Main Special Service Center,GTsSS),自2019年以来,第26165部队Kubernetes集群对美国政府和国防部机构以及其他外国组织进行密码填充攻击。
GTsSS恶意网络攻击活动前使用的名称包括Fancy Bear、APT 28、Strontium等等。使用组织office 365组织进行了大量攻击。
从暴力破解到入侵网络
暴力破解攻击的目标是微软365等云服务,通过暴力破解攻击入侵相关账户,然后利用已知漏洞获取企业或政府网络的访问权限。
该组织在攻击过程中使用了许多不同的漏洞,包括Microsoft Exchange CVE-2020-0688和CVE-2020-17144远程代码执行漏洞。
NSA据说攻击者在获得访问权限后会在网络上传播并部署reGeorg web shell停留,获取其他证件,窃取文件。
获得相关凭证的访问权限后,攻击者可以窃取office 365邮箱的收件箱和远程计算机中的其他数据。
如下:
攻击者用来执行暴力破解攻击,以隐藏攻击源Kubernetes还使用了集群Tor包括虚拟网络服务在内的虚拟网络服务Cactus虚拟网络,IPVanish,虚拟网络,Proton虚拟网络,Surfshark和World虚拟网络。
NSA称,2020年11月到2021年3月之间,黑客的暴力破解攻击活动没有使用匿名服务,暴露了GTsSS黑客使用的Kubernetes集群的部分IP地址:
- 158.58.173[.]40
- 185.141.63[.]47
- 185.233.185[.]21
- 188.214.30[.]76
- 195.154.250[.]8993.115.28[.]161
- 95.141.36[.]180
- 77.83.247[.]81
- 192.145.125[.]42
- 193.29.187[.]60
包括:
- 政府和军事组织;
- 政策咨询和党派组织;
- 国防供应商;
- 能源公司;
- 物流公司;
- 智库;
- 高等教育机构;
- 法律公司;
- 媒体公司。
当被问及美国政府机构是否被打破时,NSA受害者在攻击活动中没有公开细节。
防御措施
NSA建议有关机构:
- 定期使用多因子认证和重新认证;
- 使用密码认证时启用加时锁定特征;
- 限制使用被盗凭证;
- 使用零信任安全模型。
更多参见NSA安全公告:
https://www.nsa.gov/news-features/press-room/Article/2677750/nsa-partners-release-cybersecurity-advisory-on-brute-force-global-cyber-campaign/
参考及来源:https://www.bleepingcomputer.com/news/security/nsa-russian-gru-hackers-use-kubernetes-to-run-brute-force-attacks/如果转载,请注明原始地址。