摘要:俄罗斯黑客组织 APT28(Fancy Bear/Forest Blizzard/Sofacy)利用一种名为“Nearest Neighbor Attack(最近邻攻击)”的新技术,通过数千英里之外的企业 WiFi 网络入侵了一家美国公司。
俄罗斯黑客组织 APT28(Fancy Bear/Forest Blizzard/Sofacy)利用一种名为“Nearest Neighbor Attack(最近邻攻击)”的新技术,通过数千英里之外的企业 WiFi 网络入侵了一家美国公司。
APT28 是俄罗斯总参谋部情报总局 (GRU) 26165 军事单位的一部分,自 2004 年以来一直开展网络行动。
该组织首先攻击了 WiFi 范围内附近建筑物内的组织,然后转向目标。
攻击在 2022 年 2 月 4 日首次发现,当时网络安全公司 Volexity 检测到华盛顿特区一个正在进行乌克兰相关工作的客户站点的服务器遭到入侵。
Volexity 追踪到的黑客名为 GruesomeLarch,他们首先通过针对受害者面向公众的服务发起密码喷洒攻击,获取了目标企业 WiFi 网络的凭证。
但多重身份验证 (MFA) 保护的存在阻止了在公共网络上使用这些凭据。虽然通过企业 WiFi 连接不需要 MFA,但“与受害者相隔数千英里和一片海洋”是一个问题。
因此,黑客们变得富有创造力,开始寻找附近建筑物中可以作为目标无线网络支点的组织。
其想法是入侵另一个组织,并在其网络上寻找具有有线和无线连接的双主设备。此类设备(例如笔记本电脑、路由器)将允许黑客使用其无线适配器并连接到目标的企业 WiFi。
Volexity发现,APT28 在这次攻击中入侵了多个组织,并使用有效的访问凭证以菊花链方式连接这些组织。最终,他们在适当的范围内找到了一个设备,可以连接到受害者会议室窗户附近的三个无线接入点。
使用非特权帐户的远程桌面连接 (RDP),攻击者能够在目标网络上横向移动,搜索感兴趣的系统并窃取数据。
黑客运行servtask.bat来转储 Windows 注册表配置单元(SAM、安全和系统),并将其压缩为 ZIP 存档以供泄露。
攻击者通常依靠原生 Windows 工具来在收集数据时将其占用空间降至最低。
由于调查过程中存在多重复杂性,Volexity 无法将此次攻击归咎于任何已知的威胁行为者。
但微软今年 4 月的一份报告明确指出这一点,因为它包含的入侵指标 (IoC) 与 Volexity 的观察结果相重叠,并指向俄罗斯威胁组织。
根据微软报告中的详细信息,APT28 很可能通过利用受害者网络中的 Windows Print Spooler 服务中的0day漏洞 CVE-2022-38028 来提升权限,然后运行关键负载。
APT28 的“附近邻居攻击”表明,近距离接触行动(通常需要靠近目标(例如停车场))也可以从远处进行,并且消除了被身体识别或抓住的风险。
技术报告:
新闻链接:
来源:会杀毒的单反狗