“Midnight Blizzard”是隶属于俄罗斯情报部门 (SVR) 的威胁组织,也是对 SolarWinds 以及 Microsoft 和 HPE 等组织发起攻击的实体,它正在利用自动化云服务帐户和休眠帐户访问目标组织的云环境。
这些攻击标志着威胁行为者(也称为 APT29、Cozy Bear 和 Dukes)策略的重大转变,因为它适应了其传统目标行业中的组织越来越多地采用云服务。
重大转变
在周一的咨询中,英国 国家网络安全中心(NCSC),与...合作 美国网络安全和基础设施安全局 (CISA) 以及其他国家的同行警告称,Midnight Blizzard 的策略发生了转变,并且组织需要防止威胁行为者获得对其云环境的初始访问权限。
“对于已经迁移到云基础设施的组织来说,针对 SVR 等攻击者的第一道防线应该是防止 SVR 的 TTP 进行初始访问,”该咨询指出,同时建议针对威胁采取缓解措施。
美国和其他国家高度信任地将午夜暴雪与俄罗斯的 SVR 联系起来,该组织至少自 2009 年以来一直活跃。最初,该组织因其针对政府机构、智库和组织的情报收集攻击而受到关注在医疗保健和能源领域。近年来,特别是自 SolarWinds 攻击以来,Midnight Blizzard 已将目标瞄准了许多其他组织,包括软件供应链、医疗保健研究、执法、航空和军事工业中的组织。最近 微软和慧与指责威胁行为者 用于闯入各自的公司电子邮件环境并访问属于高级领导和关键人员的电子邮件。
在之前的许多攻击中,Midnight Blizzard 利用软件漏洞和其他网络弱点来获得对目标组织的本地 IT 基础设施的初始访问权限。但随着许多目标转向云原生和云托管环境,威胁行为者也被迫转向云服务。 NCSC 表示:“要访问大多数受害者的云托管网络,攻击者必须首先成功向云提供商进行身份验证。”
定位服务和休眠帐户
Midnight Blizzard 为实现这一目标而采用的一种常见策略是使用暴力猜测和密码喷射攻击来获取对云服务帐户的访问权限。这些通常是用于管理云应用程序和服务的自动化、非人工帐户。 NCSC 表示,此类帐户无法通过双因素身份验证机制轻松保护,因此更容易被成功入侵和接管。
但还有另一个问题使得威胁行为者接管这些帐户变得尤其成问题。 NCSC 警告说:“获得这些帐户的访问权限为威胁行为者提供了对网络的初始访问特权,以发起进一步的行动。”在许多此类攻击中,威胁行为者使用合法的住宅 IP 地址发起密码喷射攻击,使防御者很难发现活动的本质。
该咨询指出,Midnight Blizzard 用于获得对目标云环境的初始访问权限的另一种策略是利用属于可能不再在受害组织工作的用户的休眠帐户,但其帐户可能仍保留在系统上。有时,威胁行为者会通过登录非活动帐户并按照说明重置密码来重新获得对网络的访问权限,而该网络可能已从该网络中启动。
滥用身份验证令牌
Midnight Blizzard 用于初始云访问的其他策略包括使用 非法获取 OAuth 令牌 访问受害者帐户 - 并保持持久性 - 无需密码,以及使用所谓的 MFA 轰炸或 MFA 疲劳 攻击让受害者对目标帐户进行身份验证。一旦威胁行为者获得了对云环境的访问权限,他们通常会在其中注册自己的设备以获得持久访问权限。
NCSC 表示,为了减轻威胁,组织应尽可能使用多因素身份验证,以减少密码泄露的影响。在可能难以使用第二个身份验证因素的情况下,组织应创建强密码来保护服务帐户。 NCSC 还建议组织实施 最小特权原则 服务帐户来限制攻击者通过滥用服务帐户可能执行的操作。
此外,该建议还主张将身份验证令牌的会话生命周期保持为“尽可能短”,以限制威胁行为者可以使用被盗令牌进行的操作,并确保设备注册策略不允许在云环境中注册未经授权的设备。
该建议称:“应该创建看似有效的服务帐户但从未被合法服务使用的金丝雀服务帐户。”滥用此类帐户是未经授权访问的明显迹象,需要立即调查。
- :具有
- :是
- :不是
- :在哪里
- 2009
- 7
- a
- ACCESS
- 访问
- 账号管理
- 账户
- 要积极。
- 活动
- 演员
- 适应
- 增加
- 地址
- 采用
- advisory
- 附属
- 驳
- 机构
- 机构
- 还
- an
- 和
- 和基础设施
- 另一个
- 出现
- 应用领域
- 保健
- AS
- At
- 攻击
- 攻击者
- 攻击
- 关注我们
- 认证
- 认证
- 自动化
- 航空
- BE
- 承担
- 很
- 背后
- 属于
- 破坏
- 但是
- by
- CAN
- 不能
- Center
- 链
- 清除
- 云端技术
- 云基础设施
- 云服务
- 合作
- 相当常见
- 妥协
- 信心
- 公司
- 可以
- 同行
- 国家
- 创建信息图
- 创建
- 网络
- 网络安全
- 网络安全
- 捍卫者
- 国防
- 学位
- 设备
- 设备
- 难
- do
- 容易
- 邮箱地址
- 电子邮件
- 就业
- 能源
- 强制
- 实体
- 环境
- 环境中
- 特别
- 剥削
- 因素
- (名字)
- 以下
- 针对
- 强迫
- 止
- 进一步
- Gain增益
- 获得
- 获得
- 囊括
- 得到
- 目标
- 政府
- 政府机构
- 团队
- 成长
- 硬
- 有
- 医疗保健
- 高
- 托管
- HTTPS
- 即时
- 影响力故事
- 实施
- in
- 其他
- 不活跃
- 包括
- 包含
- 行业
- 基础设施
- 初始
- 原来
- 说明
- 房源搜索
- 成
- 调查
- IP
- IP地址
- 问题
- IT
- 它的
- JPG
- 保持
- 键
- 已知
- 发射
- 法律
- 执法
- 领导团队
- 最少
- 合法
- 杠杆作用
- 借力
- 喜欢
- 极限
- Line
- 记录
- 不再
- 保持
- 多数
- 制作
- 制作
- 管理的
- 许多
- 标记
- 可能..
- 机制
- 微软
- 午夜
- 可能
- 军工
- 滥用
- 减轻
- 周一
- 更多
- 移动
- 多因素身份验证
- 必须
- NCSC
- 需求
- 需要
- 网络
- 决不要
- 没有
- 注意到
- 众多
- OAuth的
- 获得
- 场合
- of
- 经常
- on
- 一旦
- 一
- 运营
- or
- 组织
- 组织
- 其他名称
- 其它
- 输出
- 己
- 密码
- 密码
- 坚持
- 人员
- 枢
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 政策
- 可能
- 实用
- 防止
- 以前
- 特权
- 问题
- 保护
- 保护
- 保护
- 提供者
- 提供
- 最近
- 最近
- 建议
- 建议
- 减少
- 在相关机构注册的
- 注册
- 留
- 研究
- 住宅
- 那些
- 俄罗斯
- 俄语
- s
- 说
- 其次
- 行业
- 保安
- 前辈
- 高层领导
- 服务
- 特色服务
- 会议
- 转移
- 转换中
- 短
- 应该
- 签署
- 显著
- 自
- 情况
- 软件
- 软件供应链
- SolarWinds的
- 赞助商
- Spot
- 被盗
- 强烈
- 成功
- 顺利
- 这样
- 供应
- 供应链
- 肯定
- 易感
- 系统
- 策略
- 收购
- 坦克
- 目标
- 针对
- 瞄准
- 目标
- 这
- 英国
- 其
- 他们
- 那里。
- 因此
- 博曼
- 他们
- 认为
- 那些
- 威胁
- 威胁者
- 绑
- 至
- 象征
- 令牌
- 传统
- 一般
- Uk
- 擅自
- us
- 使用
- 用过的
- 用户
- 运用
- 有效
- 通过
- 受害者
- 受害者
- 漏洞
- 警告
- 是
- 弱点
- 井
- 什么是
- 这
- 而
- WHO
- 谁的
- 也完全不需要
- 加工
- 年
- 和风网