在英美網絡安全機構的一份聯合聲明中,俄羅斯網絡犯罪組織 APT28 被指控發起了多次大規模網絡攻擊。Security Affairs 指出:當局在 2019 年中至 2021 年初這段時間內,發現了針對全球諸多政府組織與企業的網絡犯罪活動,涉及能源、智庫、以及國防承包商等領域。
具體說來是,黑客利用了 Kubernetes 集群開展匿名暴力攻擊,並且藉助商業虛擬專用網或暗網來進一步隱匿自身的蹤跡。
美國國家安全局(NSA)在公告中稱,該網絡犯罪組織正在全球範圍內展開暴力攻擊活動,以企業和雲環境造成了極大的危害。受害者中包括了美國境內的數百個政企網絡,其遭到了境外組織的滲透。
美國聯邦調查局(FBI)指出,APT 組織主要針對 Microsoft Office 365 在線服務、以及由第三方服務提供商託管的內部電子郵件服務器展開行動,且專家們認為該組織仍未收手。
攻擊手段方面,APT 組織利用了包括 NTLM、POP3、HTTP(S)、以及 IMAP(S)在內的一系列協議,並且試圖通過各種 TTP 組合來掩飾自身的蹤跡。即便如此,仍有許多惡意活動可被檢測出來。
在某些情況下,APT 組織會利用之前泄露的登錄憑據、或猜測各種常用的密碼。據某位專家所述,攻擊者還在利用軟件容器手段,以使其暴力嘗試更易於擴展。
在發現了必要的憑據之後,網絡犯罪團伙會進一步利用諸多已知漏洞(包括 CVE-2020-0688 和 CVE-2020-17144 Microsoft Exchange 漏洞)來進一步滲透目標網絡。
到了這一步,攻擊者已經能夠更好地躲避網絡防禦、獲取並轉移信息,而不會被受害者給發現。