俄罗斯网络犯罪组织 APT28 被指控发起多次大规模网络攻击。Security Affairs 指出,从2019年中至2021年初,当局发现了涉及能源、智库、国防承包商等领域的网络犯罪活动。
具体来说,黑客使用 Kubernetes 集群进行匿名暴力攻击,并利用商业虚拟专用网或暗网进一步隐藏自己的踪迹。
美国国家安全局(NSA)该公告称,该网络犯罪组织正在全球范围内开展暴力攻击活动,对企业和云环境造成了极大的危害。受害者包括美国数百个政府和企业网络,它们已经被海外组织渗透。
联邦调查局(FBI)指出,APT 组织主要针对 Microsoft Office365 在线服务和由第三方服务提供商托管的内部电子邮件服务器,专家认为该组织尚未停止。
攻击手段,APT 组织使用包括 NTLM、POP3、HTTP(S)、以及 IMAP(S)在内的一系列协议,并且试图通过各种 TTP 组合掩盖自己的痕迹。即便如此,还是有很多恶意活动可以检测到。
在某些情况下,APT 组织将使用之前泄露的登录凭证或猜测各种常用密码。据专家介绍,攻击者仍在使用软件容器使其暴力尝试更容易扩展。
在发现必要的证据后,网络犯罪团伙将进一步利用许多已知的漏洞(包括 CVE-2020-0688 和 CVE-2020-17144 Microsoft Exchange 漏洞)进一步渗透目标网络。