攻击链剖析:新报告揭露乌克兰网络助推全球暴力破解攻击活动
内容提要
Intrinsec报告指出,乌克兰及离岸网络支持大规模暴力破解和勒索软件活动。这些网络通过相互关联的基础设施持续发起攻击,尽管被封禁仍能继续恶意活动。建议防御者屏蔽相关IP,并监控VPN和RDP服务的攻击。
关键要点
-
Intrinsec报告揭示乌克兰及离岸网络支持大规模暴力破解和勒索软件活动。
-
乌克兰自治系统FDN3在2025年6月至7月期间发起数十万次针对SSL VPN和RDP设备的攻击。
-
FDN3与其他多个AS号同属一个更大的网络生态系统,频繁交换IPv4前缀以规避封禁。
-
离岸防弹主机服务商与乌克兰网络之间存在紧密联系,IP Volume公司是关键流量中转提供商。
-
这些网络支持暴力破解尝试,并与勒索软件团伙如GLOBAL GROUP和Black Basta存在关联。
-
即使网络被封禁,恶意活动仍会持续,网络通过新自治系统和空壳公司改头换面。
-
FDN3的维护方与已知的俄罗斯关联实体有关,可能由其维护。
-
Intrinsec建议防御者屏蔽相关IP地址,监控VPN和RDP服务的暴力破解尝试。
-
切断与这些网络的通信可以防止攻击者获取初始访问权限,阻断命令与控制通信。
-
这些网络为网络犯罪集团提供弹性基础设施,实施暴力破解、钓鱼和恶意软件托管活动。
延伸问答
乌克兰网络在暴力破解攻击中扮演了什么角色?
乌克兰网络支持大规模暴力破解和勒索软件活动,尤其是通过自治系统FDN3发起数十万次针对SSL VPN和RDP设备的攻击。
Intrinsec报告中提到的主要攻击方式是什么?
报告提到的主要攻击方式包括暴力破解和密码喷洒,特别针对SSL VPN和RDP设备。
这些网络是如何规避封禁的?
这些网络通过频繁交换IPv4前缀和创建新的自治系统来规避封禁。
乌克兰网络与勒索软件团伙之间有什么联系?
乌克兰网络与勒索软件团伙如GLOBAL GROUP和Black Basta存在关联,这些团伙依赖暴力破解企业VPN设备进行初始入侵。
防御者应采取哪些措施来应对这些攻击?
防御者应屏蔽相关IP地址,监控VPN和RDP服务的暴力破解尝试,并利用Spamhaus封禁列表识别恶意前缀。
这些网络的恶意活动为何能持续进行?
即使网络被封禁,恶意活动仍能持续,因为它们通过新自治系统和空壳公司改头换面,消除先前活动的痕迹。
