网络安全和情报机构警告 Ubiquiti EdgeRouter 用户采取保护措施,防范与俄罗斯有关的威胁组织 APT28 使用的 MooBot 僵尸网络的威胁。该僵尸网络在代号为“Dying Ember”的行动中被执法部门破获后的几周内,被 APT28 用于支持秘密网络行动并分发定制恶意软件。
据说 APT28 至少从 2007 年起就一直活跃,隶属于俄罗斯总参谋部 (GRU) 总局。该组织已在全球范围内入侵了 EdgeRouters,并利用它们来获取凭据、收集 NTLMv2 摘要、代理网络流量以及托管鱼叉式网络钓鱼登陆页面和自定义工具。
该攻击针对具有默认或弱凭据的路由器,并部署 OpenSSH 特洛伊木马,以允许 APT28 分发 bash 脚本和其他 ELF 二进制文件、获取凭据、代理网络流量和托管网络钓鱼页面。它还包括一个 Python 脚本,用于上传特定网络邮件用户的帐户凭据。
APT28正在利用Microsoft Outlook中的权限提升漏洞CVE-2023-23397。此漏洞允许 NT LAN Manager (NTLM) 哈希盗窃和中继攻击,无需用户交互。
鼓励组织对其路由器执行硬件出厂重置,以清除恶意文件、升级到最新固件版本、更改默认凭据并实施防火墙规则以防止远程管理服务暴露。
【新闻评论】
包括美国在内的多个国家的网络安全和情报机构正在警告 Ubiquiti EdgeRouter 用户,与俄罗斯有关的威胁组织 APT28 使用的 MooBot 僵尸网络构成了威胁。据称,该僵尸网络在一次名为“Dying Ember”的执法行动中被发现后,被 APT28 用于支持秘密网络行动并分发定制恶意软件。
据称,APT28 自 2007 年以来一直活跃,隶属于俄罗斯总参谋部 (GRU) 总指挥部。该组织已经入侵了 EdgeRouters,并利用它们来获取凭据、收集 NTLMv2 摘要、代理网络流量以及托管鱼叉式网络钓鱼登陆页面和自定义工具。
这些攻击针对具有默认或弱凭据的路由器,APT28 部署 OpenSSH 特洛伊木马来分发 bash 脚本和其他 ELF 二进制文件、收集凭据、代理网络流量并托管网络钓鱼页面。它还包括一个 Python 脚本,用于上传特定网络邮件用户的帐户凭据。
APT28利用了Microsoft Outlook中的权限提升漏洞CVE-2023-23397。此漏洞允许 NT LAN Manager (NTLM) 哈希盗窃和中继攻击,无需用户交互。
鼓励组织对其路由器执行硬件出厂重置,以清除恶意文件、升级到最新固件版本、更改默认凭据并实施防火墙规则以防止远程管理服务暴露。
这一新闻提高了人们对路由器如何被用作网络攻击的发射台以及国家资助的黑客如何利用这些设备的认识。它还建议组织和个人可以采取的加强网络安全的具体步骤。此类攻击是全球性威胁,不限于特定部门或国家,需要广泛警惕并采取应对措施。它重申维护网络安全是一个需要不断努力和更新以跟上不断变化的威胁的领域。