丹麦转售商受到匿名莫斯科黑客组织的攻击


暴力攻击的尖刺提示了恶意运动的开始。 Heimdal™Security发现针对丹麦公司的暴力行动

弗拉基米尔·温特芬格(Vladimir Unterfingher)

介绍

Heimdal™Security的 事件响应和管理团队最近发现了有关在丹麦土壤上运作的,位于莫斯科的匿名黑客组织的证据。我们分析的数据揭示了针对各种组织的暴力攻击的普遍性。考虑到攻击的频率和严重性,我们推测它们是由有组织犯罪集团精心策划的。网络遥测分析支持此评估-DK经销商攻击中涉及的IP地址似乎集中在莫斯科附近。这个假设仍在讨论中,因为威胁行为者本可以使用代理方法进行混淆。

我们公司采用最新的防火墙安全方法,可以在威胁组从丹麦经销商那里窃取敏感数据之前拦截和应对这些攻击。内部数据已产生有关该小组的宝贵情报 操作方式.

Muscovite小组已经从8个不同的IP地址发起了暴力和字典式攻击,目标是四个主要的经济运营商(即丹麦经销商和其他三个国际品牌)以及一个个人电子邮件地址。这项最后的操作可以表示一个(潜在的)未来商业电子邮件泄露(B.E.C)活动的数据收集阶段的开始。但是,没有足够的数据来支持此声明。在这种情况下,抵押凭证收集是持续攻击个人电子邮件地址的唯一合理解释。 

在多管齐下的恶意活动中,蛮力攻击并不是特别有效。但是,只要有足够的时间,尝试和不充分的网络安全习惯,暴力攻击就可以与勒索软件一样有效。

重建事件的时间表

10月14日,我们的事件响应和管理团队收到了有关丹麦经销商强行尝试的通知。仪表板遥测表明在上午9点左右进行了几次蛮力尝试。对于该特定客户,总共对转销商发起了1,168次攻击。

在本次暴力会议期间,共使用了八个基于莫斯科的IP。参见下图。 

超过30%的暴力破解尝试来自一个IP地址。数字取证分析表明,相同的IP – 45.141.87.18–参与了针对其他三家公司的攻击(即其中一家公司的总部也设在丹麦)。

在确定暴力/攻击字典的病因之后,我们继续收集有关该事件的其他数据,以确定这是否确实是恶意活动的开始。

到目前为止,我们了解到的情报表明,主要攻击IP地址是三个月前在对一家美国公司的持续攻击中使用的。有趣的是,对北美运营商的所有侵略都是通过一个IP地址完成的,即在丹麦经销商进攻期间大量使用的IP地址。

检测到八个IP更改。 知识产权切换是定期进行的(即间隔30-40秒)。百分比下降如下:

  • 第一次和第二次IP更改之间的-18%。
  • 第二到第三次IP更改之间-61%。
  • 第三至第四次IP更改之间的-11%。
  • 在第四和第五次IP更改之间-45%。

其余IP交换机的尝试次数保持不变。

最低阈值已记录为56 –暴力尝试次数=390。美国早期暴力攻击和丹麦事件之间的唯一分母是莫斯科IP。可以肯定的是,该组织可能利用了在北美袭击中收集的数据,以暴力方式将其运往丹麦公司的数据库中。通过比较每次攻击的尝试次数可以很容易地得出这一事实:

1000+(丹麦零售商)与20,000+(美国公司)

第五个IP(185.202.0.117)也被用于针对个人电子邮件地址的暴力攻击。已针对该Gmail地址进行了大约30次暴力破解尝试。从恶意IP地址列表中,已使用单个IP地址来进行这种暴力破解。该电子邮件地址未与威胁组所针对的任何公司建立连接。 

基于IP的暴力破解尝试分发 推测在下图中。

与每次攻击相关的数字如下:

知识产权命中数
45.141.57.1821155
45.145.67.73316
193.57.40.29124
193.106.31.106110
185.202.0.11793
195.54.161.6113
45.145.66.17556
45.145.67.13956

假设条件

在分析安全事件时,我们得出以下结论:

  • 涉及学习限制。

考虑到与美国和DK袭击有关的数字,我们可以推测出第一次侵略的目的是丰富攻击字典。考虑到所有数字似乎都在下降,特别是在每个IP交换机之后,这一假设非常合理。有人可能会说最新一批几乎是外科手术。

  • 犯罪者不止一个。

对大型目标的攻击很少是孤狼的工作。可能有不止一个人参与此操作。考虑到暴力攻击的次数,目标的高姿态和横向移动,我们可以得出结论,这是一次恶意活动,或者至少是一项迅速发展的活动。

独特的智能带来无与伦比的结果

蛮力攻击是最不有效的数据泄露方法之一。实际上,它们被用作道德黑客课程中的教学工具,以证明密码创建过程中字母数字变化的重要性。尽管如此,暴力攻击的再次兴起表明,在这种情况下,人为因素或人为错误甚至会使最有效的网络防御失效。

这就是为什么可采取行动的情报至关重要的原因-知道威胁者何时何地将发动袭击。例如,如果仪表板未记录暴力破解尝试,则我们不会发现此威胁组。数字本身并不重要。人类的专业知识在威胁搜寻方面有很大的不同。

Thor Vigilance的暴力检测和调解功能是数字驱动的机器学习与人类专业知识和独特智能相结合的地方。


暴力攻击事件发生后,Heimdal对Harbour DK的安全采访

  1. 您是Heimdal™Security经销商多长时间了?

“我们已经在Heimdal呆了两年多了,当然没有理由做出任何改变。不过,在此之后,我们肯定会保持这种伙伴关系。”

  1. 您目前向客户提供哪些Heimdal Security产品,并在您自己的环境中使用这些产品?

“ Thor Premium Enterprise,这是一个多功能的端点检测和响应套件,其中包含DNS流量过滤器,具有防火墙集成功能和强力攻击阻止功能的出色AV(这使我们免受了来自俄罗斯黑客的攻击),自动补丁管理。我们还使用PAM解决方案Thor AdminPrivilege,我们很高兴它们集成在一个集成仪表板中。我们目前也正在完成对电子邮件安全模块的收购。归根结底,我们正在使用Heimdal Security的所有产品,同时还将所有产品推广给我们自己的客户。”

                    (摘录自Martin Mikael Lauritzen的访谈, 港口 APS内部代表)


结论

丹麦经销商的强行尝试证明,我们即使一秒钟也不能放松警惕。这种黑客技术远非淘汰。在过去的六个月中,我们目睹了暴力袭击的复苏。其中大多数是针对中小企业和机构发起的。就我们而言,通过使AV数据库保持最新状态并定期检查防火墙的排除规则,可以轻松应对BFA。


关于弗拉基米尔·温特芬格

弗拉基米尔’s 博客向导,技术“瘾君子”,并且总是渴望学习有关网络安全和数字取证的新知识。


Follow 华晨安全杂志on 推特, 脸书领英 以确保您收到有关最新安全和网络安全新闻和信息的警报。