美国国家安全局称俄罗斯GRU黑客利用Kubernetes发起暴露破解攻击。美国国家安全局(NSA)发布安全公告称,俄罗斯政府黑客正在使用暴力攻击访问美国网络并窃取电子邮件和文件。7月1日,美国国家安全局发布安全公告称,俄罗斯GRU第85特别服务中心(MainSpecialServiceCenter,GTsSS)26165部队自2019年以来一直使用Kubernetes集群,目标是美国政府和国防部机构和其他外国组织进行密码填充攻击。GTsSS恶意网络攻击活动以前使用的名称包括FancyBear、APT28、Strontium等。该组织针对使用Office365的组织进行了大量的攻击活动,从暴力破解到网络入侵暴力破解攻击的目标是Microsoft365等云服务,他们利用暴力破解攻击入侵相关帐户,然后使用已知的漏洞来访问公司或政府网络。在攻击过程中,该组织使用了几种不同的漏洞,包括MicrosoftExchangeCVE-2020-0688和CVE-2020-17144远程代码执行漏洞。美国国家安全局表示,一旦攻击者获得访问权限,他们就会在整个网络中传播并部署reGeorg网络外壳以驻留、获取其他凭据并窃取文件。在获得相关凭据后,攻击者可以从远程计算机窃取Office365邮箱收件箱和其他数据。暴力破解的攻击流程如下:为了隐藏攻击源头,攻击者用来进行暴力破解的Kubernetes集群也使用了Tor和虚拟网络服务,包括Cactus虚拟网络、IPVanish、虚拟网络、质子虚拟网、Surfshark和世界虚拟网。据美国国家安全局称,在2020年11月至2021年3月期间,黑客在他们的暴力攻击中没有使用匿名服务,暴露了GTsSS黑客使用的Kubernetes集群的部分IP地址:158.58.173[.]40185.141.63[.]47185.233.185[.]21188.214.30[.]76195.154.250[.]8993.115.28[.]16195.141.36[.]18077.83.247[.]81192.145.125[.]42193.29.187[.]60被攻击的美国和其他外国机构主要位于欧洲和美国,包括:政府和军事机构;政策咨询和党派组织;国防供应商;能源公司;物流公司;智囊团;高等教育机构;律师事务所;媒体公司。当被问及是否有任何美国政府机构遭到入侵时,美国国家安全局没有透露袭击受害者的详细信息。防御措施NSA建议机构:使用多因素身份验证和定期重新身份验证;需要密码验证时启用超时和锁定功能;限制使用被盗凭证;使用零信任安全模型。查看更多NSA安全公告:https://www.nsa.gov/news-features/press-room/Article/2677750/nsa-partners-release-cybersecurity-advisory-on-brute-force-global-cyber-campaign/参考及出处:https://www.bleepingcomputer.com/news/security/nsa-russian-gru-hackers-use-kubernetes-to-run-brute-force-attacks/如有转载请注明出处。
