俄罗斯间谍可能已搬到隔壁,瞄准您的网络
Infosec 简介 另外:Microsoft 查封钓鱼域名;Helldown 找到新目标;使用 Jupyter 进行非法流媒体传输,等等 并不是要让您疑神疑鬼,但在某些情况下,街对面的那家企业可能会成为俄罗斯网络间谍入侵您网络的起点。
来源:The Register _恶意软件信息安全简介 并非让您疑神疑鬼,但在某些情况下,街对面的那家企业可能成为俄罗斯网络间谍入侵您网络的起点。
信息安全简介威胁情报和内存取证公司 Volexity 报告称,它使用所谓的“一种以前从未遇到过的新型攻击媒介”,发现了它认为是克里姆林宫支持的 APT28 威胁行为者,该威胁行为者首先入侵了办公室与目标物理距离很近的多个组织,以此针对其客户之一。
描述由于缺乏“任何术语来描述这种攻击方式”,因此被称为“最近邻居攻击”,Volexity 解释说,这种多步骤攻击始于对受害者的 Web 门户进行密码喷洒以获取有效凭据。
这些凭据无法在该组织的服务上使用,因为它已经实施了多因素身份验证 - 除了在其 Wi-Fi 网络上。
为了避免攻击目标位于数千英里之外的 Wi-Fi 网络,APT28 入侵了目标的邻近组织,识别了带有有线和无线网络适配器的设备,并使用窃取的凭据将它们连接到目标的 Wi-Fi 网络。连接后,攻击者在网络内横向移动,并通过邻近网络上的受感染机器路由窃取的数据。
“Volexity 的调查揭示了一个富有创造力、足智多谋且积极主动的威胁行为者为了实现其网络间谍目标不惜一切代价,”安全公司观察到。“重申一下,仅凭这些凭据的泄露并不能访问客户的环境。但是,Wi-Fi 网络不受 MFA 保护,这意味着靠近目标网络和有效凭据是连接的唯一要求。”
本周的关键漏洞:思科证书失效警告
已报告本周我们只提到一个尚未涉及的活跃关键漏洞:
CVE-2024-1212 已声明 摘要