敦促網路防禦者實施強而有力的安全措施,以有效應對這些不斷演變的網路威脅
由美國、英國、加拿大、澳洲及紐西蘭五國情報機構組成的國際情報分享聯盟「五眼聯盟」對APT29(也稱為 Midnight Blizzard、Cloaked Ursa 、The Dukes 或 Cozy Bear)採用的新作案手法發出了警報,APT29 是一個被認定是俄羅斯聯邦對外情報局服務(Russian Foreign Intelligence Service,SVR)轄下的部門。在三年多前精心策劃的 SolarWinds 供應鏈攻擊,入侵多個美國政府機構而聞名。近幾個月來因針對微軟、慧與科技(HPE) 和其他組織以進一步實現其戰略目標而再次引起高度關注。APT29 以政府、智庫、醫療保健組織和能源部門為目標而聞名,但現在已將其目標擴大到包括航空、教育、執法、地方和國務院、政府財務部門和軍事組織。
根據五眼聯盟的聯合諮詢,警告稱APT29 現在已將其策略轉向針對受害者的雲端服務,並正在適應現代 IT 環境,特別是基於雲端的基礎設施的廣泛採用。APT29 現在不再利用本地網路中的軟體漏洞,而是直接針對雲端服務本身進行攻擊。“隨著組織不斷對其系統進行現代化改造並轉向基於雲端的基礎設施,APT29已經適應了操作環境中的這些變化。”
該通報警告還說,APT29 使用透過暴力或密碼噴灑(Password Spraying)的方式進行攻擊從而來獲得服務帳戶和屬於受害者組織前員工的帳戶來存取雲端環境。一旦進入內部,他們就會使用 MagicWeb 惡意軟體等複雜工具偽裝成合法用戶,阻礙偵測工作。
為了應對這些不斷演變的威脅,五眼聯盟敦促網路防禦者實施強而有力的安全措施。其中包括啟用多重身份驗證 (MFA) 和強制執行強密碼、遵守最小權限原則以及及時刪除未使用或休眠的帳戶。此外,對入侵跡象保持警惕並監控可疑活動是阻止 APT29 進展的關鍵步驟。透過採用這些建議,組織可以加強對 APT29 基於雲端的入侵的防禦,並降低未來被入侵的風險。
這些機構總結了一些最佳實踐,以幫助組織免受這些威脅行為者的侵害:
*啟用多重身份驗證 (MFA)
*使用強且唯一的密碼,尤其是對於無法使用兩步驟驗證 (2SV) 的帳戶
*實施系統和服務帳戶的最小權限原則
*建立金絲雀部署服務帳戶以更快地偵測洩露
*調整系統發行token的有效期限
*僅允許授權設備進行設備註冊
*使用各種資訊來源預防、偵測和調查異常行為