查看原文
其他

揭秘“最近邻攻击”:俄黑客APT28武器化Wi-Fi的策略

E安全
2024-12-08


E安全消息,近期,网络安全公司Volexity报告揭露俄罗斯黑客组织APT28的一种新型攻击技术——“最近邻攻击”,通过入侵WiFi网络针对物理距离较近的组织。


据悉,APT28(又名GruesomeLarch、Fancy Bear),是俄罗斯总参谋部主要情报局 (GRU) 26165 军事单位的一部分,自 2004 年以来一直在开展网络行动。


最近邻攻击(Nearest Neighbor Attack)展现了一种在没有直接物理接触的情况下,破坏企业Wi-Fi网络的新型方法。以下是这种操作的展开过程:


1、凭据获取:使用密码喷射攻击,黑客针对目标组织面向公众的服务验证用户凭据。多重身份验证(MFA)保护这些服务,但该组织的Wi-Fi网络缺乏类似的保护措施。


2、基于邻近的漏洞利用:由于无法远程连接到目标的Wi-Fi,攻击者利用连接到有线和无线网络的双宿主系统渗透到附近的组织。从这些系统中,他们使用泄露的凭据对目标的Wi-Fi进行身份验证。


3、横向移动:通过“菊花链”(daisy-chaining)穿过多个组织,攻击者利用网络接近性来建立对其最终目标组织A的访问。


攻击者精心掩盖了他们的踪迹,部署了离地谋生的技术,以最大限度地减少他们的数字足迹。


Cipher.exe等工具被用来安全地删除证据,这是Volexity以前从未见过的方法。他们还利用PowerShell脚本来定位可访问的网络和被盗帐户,以进行隐蔽的透视。


“最近邻攻击实际上相当于一次近距离访问行动,但被消除实际识别或拘留的风险。”Volexity指出。


这次攻击凸显了Wi-Fi网络安全中的一个关键漏洞。即使组织已经通过MFA和其他控制措施加强了远程访问服务,Wi-Fi网络仍然不太安全,从而造成了可利用的情况。


Volexity强调像对待VPN或电子邮件服务安全级别一样对待Wi-Fi网络的重要性。主要建议包括:


  • 为WiFi访问实施MFA:加强企业网络的身份认证要求。

  • 隔离WiFi和以太网网络:防止敏感系统之间的交叉访问。

  • 增强监控:使用检测规则来监控Cipher.exe和netsh等工具的异常使用。

  • 改进取证和日志记录:确保强大的数据收集以追踪和响应威胁。


最近邻攻击是GruesomeLarch等高级持续性威胁的独创性和足智多谋的典范。报告总结说:“组织需要额外考虑Wi-Fi网络可能对其运营安全构成的风险。”



精彩推荐微软11月补丁星期二:修复91个漏洞,包含4个零日漏洞

2024.11.15

Windows Kerberos严重漏洞,数百万台服务器遭攻击

2024.11.22

Palo Alto警告,防火墙管理界面RCE漏洞被攻击者利用

2024.11.19


注:本文由E安全编译报道,转载请联系授权并注明来源。

继续滑动看下一个
E安全
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存