揭秘“最近邻攻击”:俄黑客APT28武器化Wi-Fi的策略
E安全消息,近期,网络安全公司Volexity报告揭露俄罗斯黑客组织APT28的一种新型攻击技术——“最近邻攻击”,通过入侵WiFi网络针对物理距离较近的组织。
据悉,APT28(又名GruesomeLarch、Fancy Bear),是俄罗斯总参谋部主要情报局 (GRU) 26165 军事单位的一部分,自 2004 年以来一直在开展网络行动。
最近邻攻击(Nearest Neighbor Attack)展现了一种在没有直接物理接触的情况下,破坏企业Wi-Fi网络的新型方法。以下是这种操作的展开过程:
1、凭据获取:使用密码喷射攻击,黑客针对目标组织面向公众的服务验证用户凭据。多重身份验证(MFA)保护这些服务,但该组织的Wi-Fi网络缺乏类似的保护措施。
2、基于邻近的漏洞利用:由于无法远程连接到目标的Wi-Fi,攻击者利用连接到有线和无线网络的双宿主系统渗透到附近的组织。从这些系统中,他们使用泄露的凭据对目标的Wi-Fi进行身份验证。
3、横向移动:通过“菊花链”(daisy-chaining)穿过多个组织,攻击者利用网络接近性来建立对其最终目标组织A的访问。
攻击者精心掩盖了他们的踪迹,部署了离地谋生的技术,以最大限度地减少他们的数字足迹。
Cipher.exe等工具被用来安全地删除证据,这是Volexity以前从未见过的方法。他们还利用PowerShell脚本来定位可访问的网络和被盗帐户,以进行隐蔽的透视。
“最近邻攻击实际上相当于一次近距离访问行动,但被消除实际识别或拘留的风险。”Volexity指出。
这次攻击凸显了Wi-Fi网络安全中的一个关键漏洞。即使组织已经通过MFA和其他控制措施加强了远程访问服务,Wi-Fi网络仍然不太安全,从而造成了可利用的情况。
Volexity强调像对待VPN或电子邮件服务安全级别一样对待Wi-Fi网络的重要性。主要建议包括:
为WiFi访问实施MFA:加强企业网络的身份认证要求。
隔离WiFi和以太网网络:防止敏感系统之间的交叉访问。
增强监控:使用检测规则来监控Cipher.exe和netsh等工具的异常使用。
改进取证和日志记录:确保强大的数据收集以追踪和响应威胁。
最近邻攻击是GruesomeLarch等高级持续性威胁的独创性和足智多谋的典范。报告总结说:“组织需要额外考虑Wi-Fi网络可能对其运营安全构成的风险。”
2024.11.15
2024.11.22
Palo Alto警告,防火墙管理界面RCE漏洞被攻击者利用
2024.11.19
注:本文由E安全编译报道,转载请联系授权并注明来源。