俄罗斯网络组织通过休眠帐户瞄准云基础设施

阅读量60192

发布时间 : 2024-02-27 11:18:18

五眼国家政府机构发出的最新警告称,随着组织机构转向基于云的基础设施,俄罗斯网络威胁行为者正在适应并转向以云服务为目标。

美国、加拿大、英国、澳大利亚和新西兰的网络安全和执法机构发布联合警报,呼吁紧急关注与 APT29/Cozy Bear/Midnight Blizzard相关的最新策略、技术和程序 (TTP)。俄罗斯情报部门(SVR)。

据观察,SVR 参与者并没有利用软件漏洞来攻击本地基础设施,而是发起暴力破解和密码喷射攻击来破坏服务帐户,以及针对前员工的休眠帐户来访问目标组织的环境。

此外,还发现臭名昭著的 APT 组织使用令牌访问受害者帐户,并使用一种称为“MFA 轰炸”或“MFA 疲劳”的技术绕过多重身份验证 (MFA)。

初次访问后,攻击者通常会将自己的设备注册到受害者的网络,并部署复杂的攻击后工具。

此外,黑客还依靠住宅代理来隐藏其恶意活动,使流量看起来像是来自住宅宽带客户的 IP 地址。

为了降低泄露风险,建议组织实施 MFA,为每个帐户使用强而独特的密码,实施最小权限原则,创建金丝雀服务帐户并对其进行监控,确保会话的生命周期较短,将设备注册策略配置为仅允许授权设备,并使用应用程序事件和基于主机的日志来检测恶意行为。

“对于已经迁移到云基础设施的组织来说,针对 SVR 等参与者的第一道防线应该是防止 SVR 的 TTP 进行初始访问。缓解 SVR 的初始访问向量对于网络防御者来说尤其重要,”警报称。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66