APT28攻击活动分析报告是怎样的

本篇文章为大家展示了APT28攻击活动分析报告怎样的,内容简明扼要并且容易理解,绝对能使你眼前一亮,通过这篇文章的详细介绍希望你能有所收获。

在过去的一年中,俄罗斯最大的黑客组织APT28一直在扫描和探测互联网中存在漏洞的电子邮件服务器。据报告,APT28在过去十年中的主要使用鱼叉式网络钓鱼,针对特定目标精心设计电子邮件,APT28已用多种恶意软件感染受害者超过15年。

邮件服务器扫描

鱼叉式网络钓鱼和恶意软件攻击仍然存在,APT28去年也开始对整个Internet进行扫描,在TCP端口445和1433上搜索存在漏洞的Webmail和Microsoft Exchange Autodiscover服务器。目前尚不清楚APT28对服务器发动了哪些攻击,估计他们会试图攻击未打补丁的系统,窃取敏感数据或将电子邮件服务器用在其他攻击活动中。

扫描IP归属地如下:

APT28攻击活动分析报告是怎样的APT28攻击活动分析报告是怎样的

信任关系钓鱼

除了服务器扫描之外,APT28还会通过VPN网络连接到合法公司的电子邮件服务器受感染电子邮件帐户。APT28会诱骗合法公司的员工,窃取公司电子邮件帐户登录凭据,或者进行暴力攻击破解帐户的密码。掌握了凭据后通过VPN登录受感染的帐户。

APT28攻击活动分析报告是怎样的

APT28要么泄露他们发现的数据,要么使用受感染的电子邮件帐户向其他目标发送钓鱼邮件。电子邮件来自合法公司的真实员工,因此这些钓鱼活动更有效,为APT28提供了新的受害者登录凭证。绝大多数被盗的电子邮件帐户都位于阿联酋国防部门。

APT28攻击活动分析报告是怎样的

以下是APT28在2019年8月至2019年11月间入侵的电子邮件帐户公司。

APT28攻击活动分析报告是怎样的

通过DNS SPF请求钓鱼

过去的两年仔细分析了所使用域DNS SPF的请求,观察到了大量该组织钓鱼活动。 2017年春季发现攻击者已为某些服务器分配了特定域名, 这些服务器被反复用于向Webmail目标发送钓鱼邮件。研究人员记录了域名所有DNS请求。

APT28攻击活动分析报告是怎样的

其中一些域名是在2017年免费注册,活动目标包括两个美国的免费Webmail服务,一个俄罗斯的免费Webmail服务和一个伊朗的Webmail服务。

APT28攻击活动分析报告是怎样的

攻击者经常使用商业VPN服务连接到发送垃圾邮件的专用主机。垃圾邮件发送服务器在与目标邮件服务器的SMTP会话EHLO命令中使用了特定域名。

APT28攻击活动分析报告是怎样的

图8显示了针对Yahoo的钓鱼活动。

总结和建议

APT28拥有足够的资源,可以根据目标进行长时间的网络攻击活动。他们的攻击范围很广,破坏DNS、钓鱼攻击、水坑攻击等。最近开始对Webmail和云服务进行直接攻击,该组织在未来几年仍将保持活跃。

由于攻击者使用了各种各样的工具和策略,因此组织必须确保其边界安全,减少任何潜在风险。可采取以下措施:

1、强制执行最小特权原则,限制流量,仅启用所需的服务并禁用过时或未使用的服务,将网络中的风险降到最低。
2、修补安全漏洞,保持系统更新,创建强大的补丁管理策略,对已知和未知漏洞进行虚拟修补。
3、定期监视基础结构,除了采用防火墙之外,还包括入侵检测和防御系统。
4、启用双因素身份验证。
5、对员工进行安全教育,提高对网络钓鱼技术和常见攻击的认识,禁止工作中使用个人邮箱和社交帐户。
6、保持数据完整性,定期备份数据,加密存储敏感信息。

上述内容就是APT28攻击活动分析报告是怎样的,你们学到知识或技能了吗?如果还想学到更多技能或者丰富自己的知识储备,欢迎关注亿速云行业资讯频道。

文章标题:APT28攻击活动分析报告是怎样的,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/25499

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月15日 下午11:24
下一篇 2022年9月15日 下午11:25

相关推荐

  • mysql增加的语句是什么

    增加语句有:1、CREATE DATABASE语句,用于增加数据库,语法“CREATE DATABASE 数据库名;”;2、CREATE TABLE语句,用于增加数据表,语法“CREATE TABLE 表名(列名 类型);”;3、ALTER TABLE语句,可向数据表添加字段,语法“ALTER TA…

    2022年9月21日
    56500
  • mysql索引的查询语句怎么写

    mysql索引的查询语句是“SHOW INDEX”,可以返回与当前数据库或指定数据库中的表关联的索引信息,完整语法“SHOW INDEX FROM 表名 [FROM 数据库名];”;其中,“FROM 数据库名”选项是可选的,省略则返回当前数据库中表关联的索引信息,若不省略则返回指定数据库中表的索引信…

    2022年9月26日
    95000
  • windows谷歌浏览器flash插件被拦截如何解决

    解决方法: 1、进入浏览器在地址栏输入“chrome://flags/#run-all-flash-in-allow-mode”。 Chrome:谷歌浏览器,flags:设置项列表。 run-all-flash-in-allow-mode:完全开启Chrome浏览器Flash插件功能。 2、随后找到…

    2022年9月8日
    57800
  • hiberfil文件有什么作用

    hiberfil文件指的是休眠文件,是一种能够帮助电脑进行休眠的文件;“hiberfil.sys”是windows休眠功能将内存数据与会话保存至硬盘、以便计算机断电重新启动后可以快速恢复会话所需的内存镜像文件。 本教程操作环境:windows10系统、DELL G3电脑。 hiberfil是什么文件…

    2022年9月8日
    1.1K00
  • windows vc运行库介绍及常见问题怎么解决

    vc运行库是干嘛的 答:vc运行库主要是用于软件的运行支持。 1、vc运行库是使用microsoft visual studio编写的一系列.dll文件合集。 2、因此vc运行库主要服务于一些同样使用类似语言编写的软件或游戏。 3、相信很多朋友都遇到过打开软件出现弹窗提示错误代码,无法启动的问题。 …

    2022年9月20日
    85200
  • 知识库搭建的关键点有哪些

    按照知识管理中心(Knowledge Management Center)的研究和咨询实践,知识库建设必须遵循以下核心关键点:1、界定核心知识;2、控制知识产出;3、知识内容的组织;4、知识的利用;5、知识的创新应用。 当然,在你正式开始搭建知识库之前,较好是有一个合适的在线企业知识库管理系统,我们…

    2022年3月18日
    86500
  • Js变量or循环中的var和le的介绍

    目录 在for循环中使用var声明初始化带来的问题 解决方法 使用闭包 使用let变量初始化 for循环怎么处理用let和var声明的初始化变量? 总结 在for循环中使用var声明初始化带来的问题 // 一道经典面试题:var funcs = [];for (var i = 0; i < 3…

    2022年9月13日
    58200
  • microsoft visual c++可不可以卸载

    microsoft visual c++可以卸载吗 microsoft visual c++不建议卸载。 1.Microsoft Visual C++ Redistributable Package是Visual C++的运行时组件和库 2.很多软件,尤其是游戏所必须的 Microsoft VC++…

    2022年9月2日
    2.3K00
  • windows KB4524151更新了哪些内容

    KB4524151补丁主要更新: 更新可能导致打印作业失败的打印假脱机程序服务的间歇性问题。 KB4524151改进与修补程序: 此安全更新程序包括质量改进。 关键更改包括: ● 解决可能导致打印作业失败的打印假脱机程序服务的间歇性问题。 ● 某些应用程序可能关闭或生成错误,例如远程过程调用 (RP…

    2022年9月1日
    37700
  • cad字体不显示数字怎么解决

    解决方法 1、首先我们打开软件,找到菜单栏上的格式,再找到下拉菜单上的标注样式管理器。 2、然后在跳转出来的对话框中,点击当前使用的标注样式,然后再点击右侧的修改。 3、然后在跳转的新页面里,我们点击文字的选项,在文字高度这一块把高度数值改大一些。 以上就是“cad字体不显示数字怎么解决”这篇文章的…

    2022年9月16日
    72100
注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部