黑客 Cozy Bear 正在针对全球 100 多个组织开展新的网络钓鱼活动。这种复杂的攻击使用伪装成合法文档的签名 RDP 文件来获取远程访问权限并窃取敏感数据。了解如何保护自己和组织免受这种威胁。
微软透露,威胁行为者 Cozy Bear(或 APT29、UNC2452 和 Midnight Blizzard)针对全球 100 多个组织发起了新的网络钓鱼活动。
该活动自 2024 年 10 月 22 日开始,涉及针对性极强的电子邮件,旨在诱骗用户打开恶意文件,最终让攻击者获取敏感信息。
攻击者主要针对政府、国防、学术界和非政府组织等关键部门的组织。这与 “舒适熊 ”之前针对掌握有价值情报的实体的模式一致。
这次有什么新变化?
Cozy Bear 使用了一种前所未见的方法,涉及已签名的远程桌面协议(RDP)配置文件。这些看似无害的文件会作为钓鱼邮件的附件发送,通常会伪装成与微软、亚马逊网络服务(AWS)和零信任概念有关的诱饵。这些电子邮件的编排非常复杂,甚至会冒充微软员工以提高可信度。
它是如何运作的?
根据微软在发布前与 Hackread.com 共享的博文,当用户打开恶意 RDP 文件时,会与 Cozy Bear 控制的服务器建立连接。
通过这种连接,攻击者可以访问受害者设备上的各种资源,包括文件、连接的外设、剪贴板数据,甚至是身份验证功能。攻击者可以利用这种访问权限安装恶意软件、窃取敏感数据,甚至在 RDP 会话关闭后仍能保持持续访问权限。
有什么风险?
攻击成功的潜在后果非常严重。Cozy Bear 可能会获取政府机密信息、知识产权和属于不同组织的敏感数据。被入侵的设备还可能被用作进一步攻击的发射台,有可能将感染扩散到其他连接的系统。
总部位于加利福尼亚州普莱森顿的 SlashNext Email Security+ 公司首席执行官帕特里克-哈里斯(Patrick Harr)对最近的事态发展发表了评论,并警告企业注意日益复杂的网络钓鱼攻击。
“这次攻击再次凸显了网络钓鱼仍然是对企业最危险的威胁,这就是为什么企业不仅要持续培训用户,还必须在电子邮件、协作和消息应用程序中直接采用人工智能检测和网络钓鱼沙箱来检测恶意链接和文件,”Patrick 建议说。
“这些新的复杂攻击(其中许多是人工智能生成的)可以躲过当前的安全电子邮件网关(SEG),甚至是 Office 版的 Microsoft Defender。企业防御的唯一方法就是利用人工智能在成功入侵之前阻止这些攻击。”
微软与 CERT-UA 和亚马逊已经确认了这一正在进行的活动,并正在努力通知受影响的客户。网络安全专家敦促企业和个人提高警惕,尤其是在处理包含附件或远程访问请求的电子邮件时。
此外,启用多因素身份验证、使用抗网络钓鱼的身份验证方法以及向用户宣传这些网络钓鱼技术也是减少这种攻击的重要步骤。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容