據悉,亞馬遜已查獲了俄羅斯 APT29 黑客組織用于針對政府和軍事組織進行針對性攻擊的域名,以使用惡意遠程桌面操作連接文件竊取 Windows 憑據和數據。
APT29,也被稱爲 " 舒适熊 " 和 " 午夜暴雪 ",是一個由俄羅斯國家支持的網絡間諜組織,與俄羅斯對外情報局 ( SVR ) 有聯系。亞馬遜澄清說,盡管 APT29 使用的網絡釣魚頁面被僞裝成 AWS 域,但亞馬遜或其雲平台的憑證都不是這些攻擊的直接目标。
其公告中寫道:" 他們使用的一些域名試圖欺騙目标,讓人們相信這些域是 AWS 域(但事實并非如此),但亞馬遜不是目标,該組織也不是目标 AWS 客戶憑證。相反,APT29 通過 Microsoft 遠程桌面尋找目标的 Windows 憑據。"
威脅者以針對全球政府、智庫和研究機構的高度複雜的攻擊而聞名,通常使用網絡釣魚和惡意軟件來竊取敏感信息。
全球範圍内的目标組織
盡管 APT29 最近的活動在烏克蘭産生了重大影響,但其範圍很廣泛,并針對多個被視爲俄羅斯對手的國家。
亞馬遜指出,在這次特定的活動中,APT29 遵循其典型的 " 窄目标 " 策略的相反方法,向比平常更多的目标發送了網絡釣魚電子郵件。烏克蘭計算機緊急響應小組 ( CERT-UA ) 發布了有關這些 " 流氓 RDP" 附件的公告,以警告他們在 "UAC-0215" 下跟蹤的大規模電子郵件活動。
這些消息的主題是解決亞馬遜和微軟服務的 " 集成 " 問題以及實施 " 零信任 " 網絡安全架構(零信任架構,ZTA)。
這些電子郵件包含 RDP(遠程桌面協議)連接文件,其名稱如 " 零信任安全環境合規性檢查 .rdp",打開時會自動啓動與惡意服務器的連接。
惡意 RDP 配置屏幕
從上面這些 RDP 連接配置文件之一的圖像可以看出,它們與攻擊者控制的 RDP 服務器共享所有本地資源,包括:
·本地磁盤和文件
·網絡資源
·打印機
·COM 端口
·音頻設備
·剪貼闆
此外,UA-CERT 表示,它們還可以用于在受感染的設備上執行未經授權的程序或腳本。
共享驅動器和設備被重定向到攻擊者的 RDP 服務器
雖然亞馬遜表示,該活動用于竊取 Windows 憑據,但由于目标的本地資源與攻擊者的 RDP 服務器共享,因此威脅者也可以直接從共享設備竊取數據。
這包括存儲在目标硬盤、Windows 剪貼闆和映射網絡共享上的所有數據。 CERT-UA 建議應仔細檢查其公告 IoC 部分中共享的 IP 地址的網絡交互日志,以檢測可能的攻擊或違規迹象。此外,建議采取以下措施來減少攻擊面:
1. 在郵件網關處阻止 ".rdp" 文件。
2. 防止用戶在不需要時啓動任何 ".rdp" 文件。
3. 配置防火牆設置以限制從 mstsc.exe 程序到外部網絡資源的 RDP 連接。
4. 配置組策略以通過 RDP 禁用資源重定向(" 遠程桌面服務 "->" 遠程桌面會話主機 "->" 設備和資源重定向 "->" 不允許 ...")。
目前,APT29 仍然是俄羅斯最強大的網絡威脅之一,善于使用間諜軟件供應商獨有的漏洞。據透露,去年威脅者攻擊了 TeamViewer、Microsoft 和 Hewlett Packard Enterprise 等重要軟件供應商。
本月早些時候,APT29" 集體 " 就利用 Zimbra 和 JetBrains TeamCity 服務器漏洞破壞全球重要組織。
