APT28攻擊活動(dòng)分析報(bào)告是怎樣的

本篇文章為大家展示了APT28攻擊活動(dòng)分析報(bào)告是怎樣的，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

   在過(guò)去的一年中，俄羅斯最大的黑客組織APT28一直在掃描和探測(cè)互聯(lián)網(wǎng)中存在漏洞的電子郵件服務(wù)器。據(jù)報(bào)告，APT28在過(guò)去十年中的主要使用魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)，針對(duì)特定目標(biāo)精心設(shè)計(jì)電子郵件，APT28已用多種惡意軟件感染受害者超過(guò)15年。

郵件服務(wù)器掃描

魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)和惡意軟件攻擊仍然存在，APT28去年也開(kāi)始對(duì)整個(gè)Internet進(jìn)行掃描，在TCP端口445和1433上搜索存在漏洞的Webmail和Microsoft Exchange Autodiscover服務(wù)器。目前尚不清楚APT28對(duì)服務(wù)器發(fā)動(dòng)了哪些攻擊，估計(jì)他們會(huì)試圖攻擊未打補(bǔ)丁的系統(tǒng)，竊取敏感數(shù)據(jù)或?qū)㈦娮余]件服務(wù)器用在其他攻擊活動(dòng)中。

掃描IP歸屬地如下：

信任關(guān)系釣魚(yú)

除了服務(wù)器掃描之外，APT28還會(huì)通過(guò)VPN網(wǎng)絡(luò)連接到合法公司的電子郵件服務(wù)器受感染電子郵件帳戶。APT28會(huì)誘騙合法公司的員工，竊取公司電子郵件帳戶登錄憑據(jù)，或者進(jìn)行暴力攻擊破解帳戶的密碼。掌握了憑據(jù)后通過(guò)VPN登錄受感染的帳戶。

APT28要么泄露他們發(fā)現(xiàn)的數(shù)據(jù)，要么使用受感染的電子郵件帳戶向其他目標(biāo)發(fā)送釣魚(yú)郵件。電子郵件來(lái)自合法公司的真實(shí)員工，因此這些釣魚(yú)活動(dòng)更有效，為APT28提供了新的受害者登錄憑證。絕大多數(shù)被盜的電子郵件帳戶都位于阿聯(lián)酋國(guó)防部門(mén)。

以下是APT28在2019年8月至2019年11月間入侵的電子郵件帳戶公司。

通過(guò)DNS SPF請(qǐng)求釣魚(yú)

過(guò)去的兩年仔細(xì)分析了所使用域DNS SPF的請(qǐng)求，觀察到了大量該組織釣魚(yú)活動(dòng)。 2017年春季發(fā)現(xiàn)攻擊者已為某些服務(wù)器分配了特定域名， 這些服務(wù)器被反復(fù)用于向Webmail目標(biāo)發(fā)送釣魚(yú)郵件。研究人員記錄了域名所有DNS請(qǐng)求。 

其中一些域名是在2017年免費(fèi)注冊(cè)，活動(dòng)目標(biāo)包括兩個(gè)美國(guó)的免費(fèi)Webmail服務(wù)，一個(gè)俄羅斯的免費(fèi)Webmail服務(wù)和一個(gè)伊朗的Webmail服務(wù)。

攻擊者經(jīng)常使用商業(yè)VPN服務(wù)連接到發(fā)送垃圾郵件的專(zhuān)用主機(jī)。垃圾郵件發(fā)送服務(wù)器在與目標(biāo)郵件服務(wù)器的SMTP會(huì)話EHLO命令中使用了特定域名。

圖8顯示了針對(duì)Yahoo的釣魚(yú)活動(dòng)。

總結(jié)和建議

APT28擁有足夠的資源，可以根據(jù)目標(biāo)進(jìn)行長(zhǎng)時(shí)間的網(wǎng)絡(luò)攻擊活動(dòng)。他們的攻擊范圍很廣，破壞DNS、釣魚(yú)攻擊、水坑攻擊等。最近開(kāi)始對(duì)Webmail和云服務(wù)進(jìn)行直接攻擊，該組織在未來(lái)幾年仍將保持活躍。

由于攻擊者使用了各種各樣的工具和策略，因此組織必須確保其邊界安全，減少任何潛在風(fēng)險(xiǎn)?？刹扇∫韵麓胧?/p>

1、強(qiáng)制執(zhí)行最小特權(quán)原則，限制流量，僅啟用所需的服務(wù)并禁用過(guò)時(shí)或未使用的服務(wù)，將網(wǎng)絡(luò)中的風(fēng)險(xiǎn)降到最低。
2、修補(bǔ)安全漏洞，保持系統(tǒng)更新，創(chuàng)建強(qiáng)大的補(bǔ)丁管理策略，對(duì)已知和未知漏洞進(jìn)行虛擬修補(bǔ)。
3、定期監(jiān)視基礎(chǔ)結(jié)構(gòu)，除了采用防火墻之外，還包括入侵檢測(cè)和防御系統(tǒng)。
4、啟用雙因素身份驗(yàn)證。
5、對(duì)員工進(jìn)行安全教育，提高對(duì)網(wǎng)絡(luò)釣魚(yú)技術(shù)和常見(jiàn)攻擊的認(rèn)識(shí)，禁止工作中使用個(gè)人郵箱和社交帳戶。
6、保持?jǐn)?shù)據(jù)完整性，定期備份數(shù)據(jù)，加密存儲(chǔ)敏感信息。

上述內(nèi)容就是APT28攻擊活動(dòng)分析報(bào)告是怎樣的，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注億速云行業(yè)資訊頻道。