FortiGuard Labs 近期發布最新的威脅情資報告—聯合網路安全警示,這份報告特別提到一場由俄羅斯情報局第85主要特種勤務中心(GTsSS)26165軍事部隊發起的攻擊行動。這場為期將近兩年的攻擊活動利用Kubernetes叢集對全球多個實體進行暴力攻擊,有多個政府機構與私人企業受害。Fortinet分析,除了由國家級駭客組織所發起的資安攻擊行動,政府機構和企業也經常遭到勒索軟體和其他遠端程式碼執行(Remote Code Execution,RCE)零日(Zero-day)漏洞攻擊。
聯合網路安全警示由美國的國家安全局(NSA)、網路安全性及基礎架構安全局(CISA)、聯邦調查局(FBI)與英國的國家網路安全中心(NCSC)所聯合發布的,公布俄國軍事情報局(GRU)針對全球機構發動暴力攻擊(brute force attack)。
聯合網路安全警示提出多項GTsSS執行任務時所採用的戰略技術流程。據觀察,GTsSS會使用密碼噴灑(Password Spraying)攻擊入侵目標網路,接著橫向移動擴散,再從外洩資料中竊取存取帳密,進行深入偵查,HTTP(S)、IMAP(S)、POP3與NTLM等通訊協定也是駭客鎖定的目標。獲得存取權後,這些駭客會採取進一步行動,例如透過橫向移動擴散接近目標。駭客也利用CVE 2020-0688(Microsoft Exchange驗證金鑰遠端程式碼執行漏洞)與CVE 2020-17144(Microsoft Exchange遠端程式碼執行漏洞)。遭到駭客惡意利用的Kubernetes叢集,會透過商業VPN與TOR服務混淆攻擊者的來源以及他們的來源IP位址。
FortiEDR於6月初阻止了一場對Fortinet客戶發起的勒索軟體攻擊。Fortinet深入調查Diavol這款新興勒索軟體的內部運作方式後,認為這款勒索軟體可能出自犯罪集團Wizard Spider之手,因為Diavol使用的指令列參數與Conti幾乎相同,而且也用於執行相同功能,包括記錄檔案、加密本機磁碟或網路共用磁碟,以及掃描網路共用的特定主機。
此外,Diavol與Egregor勒索軟體之間或許也有關聯,因為支付贖金的說明檔案中有幾行完全相同。有些人認為操縱Conti的駭客集團Wizard Spider與操縱Egregor的駭客集團Twisted Spider之間有關聯,據傳這兩個犯罪集團在多種攻擊行動中都會合作,而且皆因會對受害者進行雙重勒索(透過竊取及加密資料)而惡名昭彰。
儘管目前仍未查出駭客的入侵來源,但攻擊者所使用的參數以及寫死的編碼配置中出現的錯誤,都顯示Diavol是駭客的新攻擊工具,且他們尚未完全習慣使用這些工具。在駭客進行攻擊的過程中,Fortinet在網路裡找到了更多名為locker.exe的Conti酬載,提高幕後黑手正是Wizard Spider的可能性。儘管Diavol、Conti與其他相關勒索軟體有一些相似之處,Fortinet尚無法確定這些勒索軟體之間的直接關聯。