美英网络安全机构抨击APT28大规模网络攻击安全事务部指出:2019年年中至2021年初期间,当局发现针对全球许多政府机构和公司的网络犯罪活动,涉及能源、智库和国防承包商。具体而言,黑客利用Kubernetes集群进行匿名暴力攻击,并利用商业虚拟专用网络或暗网进一步隐藏行踪。美国国家安全局(NSA)在公告中表示,该网络犯罪组织正在全球范围内发动暴力攻击,对企业和云环境造成极大危害。受害者中有数百个被外国组织渗透的美国政府和企业网络。美国联邦调查局(FBI)指出,APT组织主要针对微软Office365在线服务和第三方服务商托管的内部邮件服务器,专家认为该组织并未停止。在攻击手段上,APT组织使用NTLM、POP3、HTTP(S)、IMAP(S)等一系列协议,并试图通过各种TTP组合来掩盖其踪迹。即便如此,仍然可以检测到很多恶意活动。在某些情况下,APT组织会利用之前泄露的登录凭据,或猜测各种常用密码。据一位专家称,攻击者还利用软件容器使他们的暴力尝试更具可扩展性。在发现必要的凭据后,网络犯罪分子可以利用许多已知漏洞(包括CVE-2020-0688和CVE-2020-17144MicrosoftExchange漏洞)进一步渗透目标网络。
