lswcap
美国国家安全局 (NSA)、网络安全基础设施安全机构 CISA、联邦调查局和英国国家网络安全中心 (NCSC) 联合警告说,俄罗斯情报机构的 GRU 黑客继续对世界各地的政府和私人实体进行暴力攻击。
包括 NSA 在内的政府机构联合警告说,至少自 2019 年年中以来,GRU 85 主要特殊服务中心 (GTsSS) 下的 26165 单元一直在使用 Kubernetes 集群继续对世界各地的组织进行暴力攻击。 Kubernetes Cluster 是一个开源容器编排系统,可以部署、扩展和管理容器应用程序。这意味着一组运行 Kubernetes 的节点系统,Unit 26165 继续暴力攻击,通过这个 Kubernetes 集群中的各种 VPN(CactusVPN、IPVanish、NordVPN、ProtonVPN、Surfshark、WorldVPN)服务进行混淆,即有
GRU的具体网络攻击流程是先发起暴力攻击,确定Kubernetes集群上的有效证书,然后利用获得的证书,渗透Exchange服务器中的已知漏洞,例如远程代码执行漏洞,渗透政府机构。或企业网络。接下来,它会部署一个 reGeorg Web shell,它会在您的 Intranet 上创建一个 Socks 代理以保持入侵,获取其他凭据并使用这些凭据访问内部电子邮件服务器。
据称,26165 部队在 2020 年 11 月至 2021 年 3 月期间在不使用 VPN 服务的情况下进行了暴力攻击。 在这种情况下,针对美国政府和军事组织、政治顾问、政党、国防承包商、能源公司、物流公司的攻击,认为坦克、高等教育机构、律师事务所、媒体公司等正在从特定的 IP 地址中识别出来。
根据 NSA 和其他机构的说法,GTsSS 网络攻击单位被称为 APT28、Fancy Bear 和 Strontium。 2020 年 8 月,美国国家安全局警告说,用 Fancy Bear 制作的恶意工具威胁到国家安全。相关信息可以在这里找到。
Add comment