01
SVR网络行动的主要目标
有意目标:包括政府和外交部门、科技公司、智库、国际组织和有资质的国防承包商。这些目标被选中是为了收集外国情报和技术数据,并建立访问渠道以支持后续的供应链或下游妥协。这些目标包括北美和西欧的政府和组织,以及亚洲、非洲、俄罗斯周边国家和南美洲的公共和私营部门组织。 机会目标:包括那些具有可访问互联网的基础设施的实体,这些实体容易通过公开披露的漏洞、弱身份验证控制或系统配置错误被利用。SVR网络操作者持续扫描面向互联网的系统以寻找未修补的漏洞。这种大规模扫描和机会性利用增加了威胁面,几乎任何拥有漏洞系统的组织都可能成为目标。SVR利用机会性受害者来托管恶意基础设施、从被妥协账户进行后续操作,或尝试转向其他网络。
02
SVR使用的常见网络攻击技术
利用公开漏洞进行初始访问和特权提升:SVR利用公开披露的漏洞(如CVE-2022-27924和CVE-2023-42793)进行初始访问和特权提升。这些漏洞包括命令注入、认证绕过和远程代码执行等。 鱼叉式网络钓鱼:SVR通过模仿技术支持实体发送鱼叉式网络钓鱼消息,诱使受害者授予账户访问权限。例如,SVR使用Microsoft Teams账户发送钓鱼消息,以获取受害者账户的访问权限。 密码喷射:SVR使用密码喷射技术来访问受害者的环境,尝试使用常见的密码组合来破解账户。 供应链和信任关系的滥用:SVR利用供应链中的漏洞和信任关系来攻击下游客户。例如,SVR通过篡改软件更新来感染下游客户。 定制和现成的恶意软件:SVR使用定制和现成的恶意软件来获取初始访问权限、提升特权、横向移动、在受害网络中维持持久性,外泄信息。 云环境利用:SVR利用云环境中的配置错误和弱访问控制来获取信息,而无需额外的软件。 使用Tor网络和代理:SVR广泛使用Tor网络和代理来掩盖其活动,从初始目标到数据收集的整个过程中都使用这些技术。 基础设施的快速销毁:当SVR怀疑其入侵行为被发现时,会迅速尝试销毁其基础设施和一切证据,以避免被追踪。
03
缓解措施
优先快速部署补丁和软件更新,尽可能启用自动更新功能。
禁用不需要的面向互联网的服务,限制对可信网络的访问,移除工作站和开发环境中的未使用应用程序和工具。
在可能的情况下,要求并强制实施多因素认证。对于新设备的注册,要求额外的身份验证挑战。
为身份验证服务和面向互联网的功能启用强大的日志记录。定期审计具有电子邮件管理权限的云账户和应用程序,以检测异常活动。
限制令牌访问生命周期,并监控令牌重用的证据。
强制实施最小权限访问,并禁用外部管理功能。
基线授权设备,并对不符合基线的系统进行额外审查。在条件允许的情况下,禁用向未注册设备远程下载信息的功能。
进行持续的威胁狩猎活动。确保系统的正确配置,检查开放端口和过时或未使用的协议,特别是在面向互联网的系统上。将面向互联网的服务隔离在网络DMZ中,以减少内部网络的暴露。
当设备成功注册时,通过多个平台通知用户,以帮助识别意外注册。培训和鼓励用户注意并报告意外注册。
数据建设
电话:010-84645772
网站:www.milthink.com
