亞馬遜查獲使用惡意遠(yuǎn)程桌面操作以竊取數(shù)據(jù)的域名

據(jù)悉,亞馬遜已查獲了俄羅斯 APT29 黑客組織用于針對政府和軍事組織進(jìn)行針對性攻擊的域名,以使用惡意遠(yuǎn)程桌面操作連接文件竊取 Windows 憑據(jù)和數(shù)據(jù)。

本文來自微信公眾號(hào)“嘶吼專業(yè)版”,【作者】胡金魚。

據(jù)悉,亞馬遜已查獲了俄羅斯APT29黑客組織用于針對政府和軍事組織進(jìn)行針對性攻擊的域名,以使用惡意遠(yuǎn)程桌面操作連接文件竊取Windows憑據(jù)和數(shù)據(jù)。

APT29,也被稱為“舒適熊”和“午夜暴雪”,是一個(gè)由俄羅斯國家支持的網(wǎng)絡(luò)間諜組織,與俄羅斯對外情報(bào)局(SVR)有聯(lián)系。亞馬遜澄清說,盡管APT29使用的網(wǎng)絡(luò)釣魚頁面被偽裝成AWS域,但亞馬遜或其云平臺(tái)的憑證都不是這些攻擊的直接目標(biāo)。

其公告中寫道:“他們使用的一些域名試圖欺騙目標(biāo),讓人們相信這些域是AWS域(但事實(shí)并非如此),但亞馬遜不是目標(biāo),該組織也不是目標(biāo)AWS客戶憑證。相反,APT29通過Microsoft遠(yuǎn)程桌面尋找目標(biāo)的Windows憑據(jù)。”

威脅者以針對全球政府、智庫和研究機(jī)構(gòu)的高度復(fù)雜的攻擊而聞名,通常使用網(wǎng)絡(luò)釣魚和惡意軟件來竊取敏感信息。

全球范圍內(nèi)的目標(biāo)組織

盡管APT29最近的活動(dòng)在烏克蘭產(chǎn)生了重大影響,但其范圍很廣泛,并針對多個(gè)被視為俄羅斯對手的國家。

亞馬遜指出,在這次特定的活動(dòng)中,APT29遵循其典型的“窄目標(biāo)”策略的相反方法,向比平常更多的目標(biāo)發(fā)送了網(wǎng)絡(luò)釣魚電子郵件。烏克蘭計(jì)算機(jī)緊急響應(yīng)小組(CERT-UA)發(fā)布了有關(guān)這些“流氓RDP”附件的公告,以警告他們在“UAC-0215”下跟蹤的大規(guī)模電子郵件活動(dòng)。

這些消息的主題是解決亞馬遜和微軟服務(wù)的“集成”問題以及實(shí)施“零信任”網(wǎng)絡(luò)安全架構(gòu)(零信任架構(gòu),ZTA)。

這些電子郵件包含RDP(遠(yuǎn)程桌面協(xié)議)連接文件,其名稱如“零信任安全環(huán)境合規(guī)性檢查.rdp”,打開時(shí)會(huì)自動(dòng)啟動(dòng)與惡意服務(wù)器的連接。

微信圖片_20241107140503.png

惡意RDP配置屏幕

從上面這些RDP連接配置文件之一的圖像可以看出,它們與攻擊者控制的RDP服務(wù)器共享所有本地資源,包括:

·本地磁盤和文件

·網(wǎng)絡(luò)資源

·打印機(jī)

·COM端口

·音頻設(shè)備

·剪貼板

此外,UA-CERT表示,它們還可以用于在受感染的設(shè)備上執(zhí)行未經(jīng)授權(quán)的程序或腳本。

微信圖片_20241107140511.png

共享驅(qū)動(dòng)器和設(shè)備被重定向到攻擊者的RDP服務(wù)器

雖然亞馬遜表示,該活動(dòng)用于竊取Windows憑據(jù),但由于目標(biāo)的本地資源與攻擊者的RDP服務(wù)器共享,因此威脅者也可以直接從共享設(shè)備竊取數(shù)據(jù)。

這包括存儲(chǔ)在目標(biāo)硬盤、Windows剪貼板和映射網(wǎng)絡(luò)共享上的所有數(shù)據(jù)。CERT-UA建議應(yīng)仔細(xì)檢查其公告IoC部分中共享的IP地址的網(wǎng)絡(luò)交互日志,以檢測可能的攻擊或違規(guī)跡象。此外,建議采取以下措施來減少攻擊面:

1.在郵件網(wǎng)關(guān)處阻止“.rdp”文件。

2.防止用戶在不需要時(shí)啟動(dòng)任何“.rdp”文件。

3.配置防火墻設(shè)置以限制從mstsc.exe程序到外部網(wǎng)絡(luò)資源的RDP連接。

4.配置組策略以通過RDP禁用資源重定向(“遠(yuǎn)程桌面服務(wù)”->“遠(yuǎn)程桌面會(huì)話主機(jī)”->“設(shè)備和資源重定向”->“不允許...”)。

目前,APT29仍然是俄羅斯最強(qiáng)大的網(wǎng)絡(luò)威脅之一,善于使用間諜軟件供應(yīng)商獨(dú)有的漏洞。據(jù)透露,去年威脅者攻擊了TeamViewer、Microsoft和Hewlett Packard Enterprise等重要軟件供應(yīng)商。

本月早些時(shí)候,APT29“集體”就利用Zimbra和JetBrains TeamCity服務(wù)器漏洞破壞全球重要組織。

參考及來源:https://www.bleepingcomputer.com/news/security/amazon-seizes-domains-used-in-rogue-remote-desktop-campaign-to-steal-data/

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論

本月熱門