美國敦促組織清理受俄羅斯APT28駭客組織感染的路由器
美國政府最近對俄羅斯APT28組織(也稱為 Fancy Bear 或Sednit)進行的網路間諜活動採取了行動。在拆除由 Ubiquiti 路由器組成的殭屍網路後,該殭屍網路感染了名為「 Moobot 」的惡意軟體,當局現在敦促組織和個人清理其設備,以支持破壞工作。
受感染的路由器主要用於小型辦公室/家庭辦公室 (SOHO) 設置,網路犯罪分子利用預設憑證和與 Moobot 相關的木馬 OpenSSH 伺服器進程進行了攻擊。隨後,APT28 控制了這些路由器,並利用它們針對歐洲、中東和美國的各個部門進行秘密行動,包括航空航太、能源、政府、製造和技術。
一旦進入路由器,APT28 攻擊者就會利用各種策略,包括收集憑證、代理網路流量以及部署自訂後利用工具。他們還利用 Outlook 中的零日漏洞從目標帳戶收集憑證,並部署 Python 腳本以進一步收集憑證。
此外,APT28 利用受感染的路由器進行命令和控制,將其用作名為 MasePie 的 Python 後門的基礎設施。該組織採用了複雜的技術,例如建立反向代理連線和上傳 SSH RSA 金鑰來建立反向 SSH 隧道。
為了應對這項威脅,該通報建議採取多種緩解措施,包括將裝置恢復原廠設定、更新韌體、更改預設憑證和實施防火牆規則。鼓勵組織和消費者利用提供的妥協指標 (IoC) 來檢測感染跡象,並採取必要的措施來防止未來出現類似的妥協。
總體而言,美國政府的行動呼籲強調了 APT28 帶來的持續威脅以及確保網路基礎設施安全以防範網路間諜活動的重要性。