美国国家安全局发出警报称,由克里姆林宫支持的新一波攻击正在瞄准美国政府和私营企业。
该情报机构周四发布警报称,他们发现从特制的Kubernetes集群发起的暴力破解密码攻击。这些攻击被归咎于俄罗斯外国情报机构俄罗斯总参谋部情报总局(GRU)的一个部门;美国国家安全局表示,这个GRU部门也被确定为APT28 或“Fancy Bear”威胁组织,该组织曾对美国目标发起多次攻击,例如2016年民主党全国委员会数据泄露事故。
美国国家安全局警告说,欧洲公司也是攻击目标。除了政府机构,GRU黑客还攻击媒体公司、国防承包商、专家小组和政治团体以及能源供应商等行业。
美国国家安全局在警报中说:“这项攻击活动已经瞄准全球数百个美国和外国组织,包括美国政府和国防部实体。虽然攻击目标总的来看是全球性的,但攻击主要集中在美国和欧洲的实体上。”
美国国家安全局拒绝评论该攻击的成功率是多少,以及实际上有多少网络被黑客入侵。
该暴力破解攻击是更大攻击活动的一部分,他们的目的是获取凭证并在网络中立足。在自动暴力破解操作获取有效用户帐户后,攻击者转向更手动的方法。
被盗账户用于登录目标公司网络,攻击者利用提权和远程代码执行漏洞获取管理员权限;这些漏洞包括两个Microsoft Exchange Server漏洞:CVE 2020-0688和CVE 2020-17144。从那里,攻击者希望在网络横向移动,最终到达邮件服务器或其他有价值的数据缓存。
当收集数据和帐户详细信息,并将其上传到另一台服务器后,攻击者就会安装web shell和管理员帐户,使他们能够在网络上持续存在并能够在以后重新进入。
尽管NSA表示大多数攻击都是在Tor和多个VPN服务的掩护下发起,但攻击者有时确实很草率,并且有些攻击直接来自Kubernetes集群,这使调查人员能够收集少量IP地址.
为了对抗暴力破解攻击,NSA建议管理员采取一些基本步骤来限制访问尝试或在多次尝试失败后启动锁定。那些想要额外安全层的人还可以考虑多因素身份验证、CAPTCHA以及检查容易猜到的常用密码。
如果攻击者设法获得有效凭据,企业还应确保服务器和网络设备安装最新的安全补丁和固件更新,以防止特权提升和横向移动。
美国国家安全局警告称:“密码喷洒攻击的可扩展性意味着可以轻松更改特定的入侵指标 (IOC) 以绕过基于IOC的缓解措施。除了阻止与本网络安全公告中列出的特定指标相关的活动外,企业还应考虑拒绝来自已知TOR节点和其他公共VPN服务的所有入站活动,此类访问与典型用途无关。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
10款API安全测试工具帮助降低风险
API是现代应用程序架构的核心。然而,由于其重要性以及提供数据和资源访问的能力,它们经常成为攻击者的目标。 A […]
-
如何防止DDoS攻击
分布式拒绝服务(DDoS)攻击,尽管广为人知,但仍然是恶意行为者用来对企业造成财务和声誉损害的常见的方法。 然 […]
-
API安全成熟度模型用于评估API安全态势
随着企业使用的API数量不断增加,保护这些代码位比以往任何时候都更加重要,它们使软件能够通信。为此,团队必须审 […]
-
CrowdStrike:内容验证漏洞导致全球中断
CrowdStrike周三表示,该网络安全供应商内容验证系统中的漏洞是导致上周五全球中断的的原因。 上周五,C […]