五眼国家政府机构发出的最新警告称,随着组织机构转向基于云的基础设施,俄罗斯网络威胁行为者正在适应并转向以云服务为目标。
美国、加拿大、英国、澳大利亚和新西兰的网络安全和执法机构发布联合警报,呼吁紧急关注与 APT29/Cozy Bear/Midnight Blizzard相关的最新策略、技术和程序 (TTP)。俄罗斯情报部门(SVR)。
据观察,SVR 参与者并没有利用软件漏洞来攻击本地基础设施,而是发起暴力破解和密码喷射攻击来破坏服务帐户,以及针对前员工的休眠帐户来访问目标组织的环境。
此外,还发现臭名昭著的 APT 组织使用令牌访问受害者帐户,并使用一种称为“MFA 轰炸”或“MFA 疲劳”的技术绕过多重身份验证 (MFA)。
初次访问后,攻击者通常会将自己的设备注册到受害者的网络,并部署复杂的攻击后工具。
此外,黑客还依靠住宅代理来隐藏其恶意活动,使流量看起来像是来自住宅宽带客户的 IP 地址。
为了降低泄露风险,建议组织实施 MFA,为每个帐户使用强而独特的密码,实施最小权限原则,创建金丝雀服务帐户并对其进行监控,确保会话的生命周期较短,将设备注册策略配置为仅允许授权设备,并使用应用程序事件和基于主机的日志来检测恶意行为。
“对于已经迁移到云基础设施的组织来说,针对 SVR 等参与者的第一道防线应该是防止 SVR 的 TTP 进行初始访问。缓解 SVR 的初始访问向量对于网络防御者来说尤其重要,”警报称。
发表评论
您还未登录,请先登录。
登录