美国联邦调查局FBI称俄罗斯总参谋部主要情报局的黑客瞄准Ubiquiti路由器获取数据并创建僵尸网络

Anna艳娜2024-03-01 13:23:48

隶属于俄罗斯总参谋部主要情报局的俄罗斯黑客正在使用受感染的Ubiquiti EdgeRouter来构建广泛的僵尸网络、窃取凭据、收集NTLMv2摘要和代理恶意流量。



美国联邦调查局(FBI)、美国国家安全局(NSA)、美国网络司令部和国际合作伙伴发布了联合网络安全咨询,警告俄罗斯国家支持的网络行为者使用受损的Ubiquiti EdgeRouter进行恶意网络操作。他们还使用受感染的路由器来欺骗登陆页面和后利用工具。


根据该通报(PDF),俄罗斯支持的APT28攻击者(又名Fancy Bear)自2022年以来一直在使用受感染的Ubiquiti EdgeRouter对航空航天与国防、教育以及能源与公用事业等多个行业开展秘密网络行动。捷克共和国、意大利、立陶宛、约旦、黑山、波兰、斯洛伐克、土耳其、乌克兰和美国是其主要目标。


2023年,APT28攻击者使用Python脚本收集网络邮件用户凭据,并通过跨站点脚本和浏览器中的浏览器鱼叉式网络钓鱼活动将其上传到受感染的Ubiquiti路由器。他们还利用CVE-2023-23397零日漏洞(尽管已修补)在受感染的路由器上安装Impacket ntlmrelayx.py和Responder等工具,从而允许NTLM中继攻击和托管恶意身份验证服务器。


供您参考,Microsoft的威胁防护情报团队在Outlook中发现了此漏洞,该漏洞允许攻击者窃取Net-NTLMv2哈希值并访问用户帐户。该漏洞此前曾被疑似与俄罗斯军事情报机构有关联的森林暴雪组织利用。


FBI已确定EdgeRouters上存在Mirai-baed Moobot OpenSSH木马和APT28活动的IOC。APT28攻击者利用OpenSSH服务器进程中的漏洞,托管Python脚本来收集和验证被盗的Web邮件帐户凭据。攻击者在EdgeRouters上使用iptables规则建立反向代理连接,并将对手控制的SSH RSA密钥上传到受感染的路由器。他们还使用了masEPIE,这是一个能够在受害者计算机上执行任意命令的Python后门。


进一步调查显示,APT28使用受损的Ubiquiti EdgeRouters作为针对目标部署的MASEPIE后门的C2基础设施。发送至EdgeRouters和从EdgeRouters发送的数据均使用随机生成的16字符AES密钥进行加密。


FBI建议通过执行硬件出厂重置、升级到最新固件、更改默认用户名和密码以及在WAN侧接口上实施战略防火墙规则来修复受损的EdgeRouter。


网络所有者应保持其操作系统、软件和固件为最新状态,并更新Microsoft Outlook以缓解CVE-2023-23397的影响。为了缓解其他形式的NTLM中继,网络所有者应考虑禁用NTLM或启用服务器签名和身份验证配置的扩展保护。


为了深入了解最新的咨询,我们联系了Bambenek Consulting总裁John Bambenek,他强调了修补缺陷和保持系统最新的重要性。


“25年来整个技术堆栈网络安全方面最大的进步是微软将自动更新设置为Windows的默认设置。在物联网、嵌入式设备和网络堆栈中,这不是常态。”约翰认为。


“我们知道消费者或大多数组织都不会修补设备,那么民族国家行为者为什么不参与目标丰富的环境呢?这些设备具有普通计算机的所有弱点,只是用户无法对其进行强化、添加EDR或对服务器执行任何操作以使其更安全。在制造商认真对待这个问题之前,无论是Mirai还是间谍,这些设备都将继续大量受到损害。”

路由僵尸网络
本作品采用《CC 协议》,转载必须注明作者和本文链接
一文get僵尸网络的常见攻击方式、防范方法
美国政府周二宣布取缔 IPStorm 僵尸网络代理网络及其基础设施,此次行动背后的Sergei Makinin已遭逮捕且已认罪。
Mozi僵尸网络是在2019年底首次出现在针对路由器和DVR的攻击场景上的一种P2P僵尸网络。主要攻击物联网(IoT)设备,包括网件,D-Link和华为等路由设备。它本质上是Mirai的变种,但也包含Gafgyt和IoT Reaper的部分代码,用于进行DDoS攻击,数据窃取,垃圾邮件发送以及恶意命令执行和传播。目前其规模已经迅速扩大,据统计目前已占到所有物联网(IoT)僵尸网络流量的90%。
APT攻击不仅危害性大,而且隐蔽性强。我国是APT攻击的最大受害国之一。做好溯源工作不仅能使相关部门掌握APT攻击的活动规律,做好应对与防范,有效减少损失,还能使我国在面对敌对势力在网络安全问题上的舆论攻击的时候,拿出确凿的证据进行有力的反驳,有效维护国家尊严。综合以上原因,这种溯源的方式在面对有组织的APT攻击的时候成功率会大大降低,而成本则会大大增加。APT攻击溯源的最终目的是定位到发起攻击的组织或个人。
这样在受害主机端,无法得到攻击主机的IP地址。在这种攻击中,攻击者利用C&C型或P2P型Botnet,先发送控制指令, bot主机接收到控制指令后,向设定的攻击目标发动攻击。取证人员可以在事先给骨干网络的路由器增加新的功能,在不影响正常路由的情况下修改标准的IP协议,以帮助发现真实的IP地址。基于这一条件的方法主要有概率包标记算法、确定包标记算法、ICMP标记算法等。
目前已关闭美国境内所有受感染设备
此次报告发布将为遍布全球的网络攻击受害者提供参考和建议。在针对中国境内多起典型网络攻击事件的调查过程中,联合调查组从受害单位信息网络中捕获并成功提取了一大批与美国中央情报局紧密关联的木马程序、功能插件和攻击平台样本。目前,联合调查组已将相关情况提供给我国受害单位所在辖区的公安机关。五是美国国务院将研发“反审查”信息系统作为重要任务,并为该项目注资超过3000万美元。
管理员角色对于保护网络免受攻击至关重要,需要配备专门人员来保护网络上的设备、应用程序和信息。应在网络边界实施多层防御,以抵御外部威胁,监控和限制出入流量。在整个网络中部署多层下一代防火墙,限制出入流量,检查网络区域之间的所有内部活动。NAC方案可防止未授权物理连接,监控网络上已授权的物理连接。为防护这些漏洞,管理员应禁用所有不必要的功能,并对流向VPN网关的流量采用严格的流量过滤规则。
根据Bishop Fox-SANS的调查 ,近75%的道德黑客认为大多数组织缺乏必要的检测和响应能力来防止攻击。埃斯顿表示,该调查应说服组织努力快速检测和响应攻击,以减轻损害。Web应用程序攻击、口令破解攻击和勒索软件攻击占25%。无线电研究所表示,这足以对安装在支架上的所有类型的有效载荷进行全天候维护。
隐藏通信隧道技术常用于在访问受限的网络环境中或不受信任的网络中实现安全的数据传输。网络层:IPV6隧道、ICMP隧道、GRE隧道传输层:TCP隧道、UDP隧道、常规端口转发应用层:SSH隧道、HTTP隧道、HTTPS隧道、DNS隧道常规判断内网连通性的方法都有哪些?
Anna艳娜
暂无描述