美国敦促组织清理受俄罗斯APT28黑客组织感染的路由器
美国政府最近对俄罗斯APT28组织(也称为 Fancy Bear 或Sednit)进行的网络间谍活动采取了行动。在拆除由 Ubiquiti 路由器组成的僵尸网络后,该僵尸网络感染了名为“ Moobot ”的恶意软件,当局现在敦促组织和个人清理其设备,以支持破坏工作。
受感染的路由器主要用于小型办公室/家庭办公室 (SOHO) 设置,网络犯罪分子利用默认凭据和与 Moobot 相关的木马 OpenSSH 服务器进程进行了攻击。随后,APT28 控制了这些路由器,利用它们针对欧洲、中东和美国的各个部门进行秘密行动,包括航空航天、能源、政府、制造和技术。
一旦进入路由器,APT28 攻击者就会利用各种策略,包括收集凭据、代理网络流量以及部署自定义后利用工具。他们还利用 Outlook 中的零日漏洞从目标帐户收集凭据,并部署 Python 脚本以进一步收集凭据。
此外,APT28 利用受感染的路由器进行命令和控制,将其用作名为 MasePie 的 Python 后门的基础设施。该组织采用了复杂的技术,例如建立反向代理连接和上传 SSH RSA 密钥来建立反向 SSH 隧道。
为了应对这一威胁,该通报建议采取多种缓解措施,包括将设备恢复出厂设置、更新固件、更改默认凭据和实施防火墙规则。鼓励组织和消费者利用提供的妥协指标 (IoC) 来检测感染迹象,并采取必要的措施防止未来出现类似的妥协。
总体而言,美国政府的行动呼吁强调了 APT28 带来的持续威胁以及确保网络基础设施安全以防范网络间谍活动的重要性。