俄罗斯APT29网络间谍活动新动向

关键要点

俄罗斯APT29团伙在网络攻击手法上进行了调整，以便更有效地针对云服务的受害者。新的建议警告称，该团伙利用了服务账户的漏洞，尤其是通过暴力破解和密码喷射攻击。APT29曾参与多起重大网络攻击，包括2016年以来的民主党全国委员会黑客事件和2020年的SolarWinds供应链攻击。建议组织维护服务账户的清单，并创建虚假的“金丝雀”账户，以便快速识别非正常活动。

俄罗斯的精英网络间谍组织APT29，因其持续的网络攻击和间谍活动而备受关注。随着其监视的政府和企业越来越多地将基础设施转移到云端，APT29已经修改了其黑客方法，以便更有效地渗透目标。

APT29，不仅被称为“舒适熊”，还以“午夜暴风雪”和“Nobelium”而闻名，被西方情报机构认定为俄罗斯对外情报局SVR的一部分。最近，英国国家网络安全中心NCSC发布的一项新建议指出，该团伙已在策略、技术和程序TTPs上进行了演变，以更有效地获取受害者的云服务访问权。

APT29曾涉及多起臭名昭著的攻击事件，包括2016年的民主党全国委员会黑客事件和2020年的SolarWinds供应链攻击。近期，APT29还被指控黑入微软员工的电子邮件账户，包括公司高级管理层成员的账号，并从惠普企业盗取SharePoint和邮件文件。

服务账户的危险性

NCSC的建议指出，APT29擅长使用暴力破解和密码喷射攻击来访问服务账户，这些账户通常不与特定个人关联，主要用于运行和管理应用程序和服务。由于服务账户通常由组织内的多人访问，因此难以通过多因素身份验证MFA来保护。

“服务账户通常也具有很高的权限，这取决于其管理的应用程序和服务，”建议中提到。“获得这些账户的访问权限，可以为威胁行为者提供初始访问网络的特权，从而展开进一步的操作。”

NCSC还指出，APT29会针对那些在用户离开组织后仍保留的非活跃账户进行攻击。

“在发生事件后强制所有用户重置密码的情况下，SVR行为者被观察到登录到非活跃账户并按照指示重置密码。这使得该行为者能够在事件响应驱逐活动后重新获得访问权限。”

该团伙还利用了一种被称为“MFA炸弹”或MFA疲劳的技术，反复向受害者的设备发送MFA请求，直到受害者接受通知。

快喵加速器ios

初步访问使受害者暴露

“当一个行为者绕过这些系统获得云环境的访问后，SVR行为者被观察到将自己的设备注册为云租户的新设备。”建议中提到。“如果未设置设备验证规则，SVR行为者就能够成功注册自己的设备并获得网络访问权限。”

在获得初步访问权限后，该团伙能够部署“高度复杂的后渗透能力”，例如MagicWeb，这是AP29在2022年部署的一种工具，使成员能够在被攻陷的系统内保持持久性并展开间谍活动。

Keeper