揭秘“最近邻攻击”：俄黑客APT28武器化Wi-Fi的策略

揭秘“最近邻攻击”：俄黑客APT28武器化Wi-Fi的策略

E安全消息，近期，网络安全公司Volexity报告揭露俄罗斯黑客组织APT28的一种新型攻击技术——“最近邻攻击”，通过入侵WiFi网络针对物理距离较近的组织。

据悉，APT28（又名GruesomeLarch、Fancy Bear），是俄罗斯总参谋部主要情报局 （GRU） 26165 军事单位的一部分，自 2004 年以来一直在开展网络行动。

最近邻攻击（Nearest Neighbor Attack）展现了一种在没有直接物理接触的情况下，破坏企业Wi-Fi网络的新型方法。以下是这种操作的展开过程：

1、凭据获取：使用密码喷射攻击，黑客针对目标组织面向公众的服务验证用户凭据。多重身份验证（MFA）保护这些服务，但该组织的Wi-Fi网络缺乏类似的保护措施。

2、基于邻近的漏洞利用：由于无法远程连接到目标的Wi-Fi，攻击者利用连接到有线和无线网络的双宿主系统渗透到附近的组织。从这些系统中，他们使用泄露的凭据对目标的Wi-Fi进行身份验证。

3、横向移动：通过“菊花链”（daisy-chaining）穿过多个组织，攻击者利用网络接近性来建立对其最终目标组织A的访问。

攻击者精心掩盖了他们的踪迹，部署了离地谋生的技术，以最大限度地减少他们的数字足迹。

Cipher.exe等工具被用来安全地删除证据，这是Volexity以前从未见过的方法。他们还利用PowerShell脚本来定位可访问的网络和被盗帐户，以进行隐蔽的透视。

“最近邻攻击实际上相当于一次近距离访问行动，但被消除实际识别或拘留的风险。”Volexity指出。

这次攻击凸显了Wi-Fi网络安全中的一个关键漏洞。即使组织已经通过MFA和其他控制措施加强了远程访问服务，Wi-Fi网络仍然不太安全，从而造成了可利用的情况。

Volexity强调像对待VPN或电子邮件服务安全级别一样对待Wi-Fi网络的重要性。主要建议包括：

• 为WiFi访问实施MFA：加强企业网络的身份认证要求。
• 隔离WiFi和以太网网络：防止敏感系统之间的交叉访问。
• 增强监控：使用检测规则来监控Cipher.exe和netsh等工具的异常使用。
• 改进取证和日志记录：确保强大的数据收集以追踪和响应威胁。

最近邻攻击是GruesomeLarch等高级持续性威胁的独创性和足智多谋的典范。报告总结说：“组织需要额外考虑Wi-Fi网络可能对其运营安全构成的风险。”