开云体育与俄罗斯对外谍报局 ( SVR ) 有经营-开云·kaiyun体育(中国)官方网站-登录入口

据悉，亚马逊已查获了俄罗斯 APT29 黑客组织用于针对政府和军事组织进行针对性蜿蜒的域名，以使用坏心良友桌面操作衔接文献窃取 Windows 把柄和数据。 

APT29，也被称为"安逸熊"和"午夜暴雪"，是一个由俄罗斯国度撑握的蓄积间谍组织，与俄罗斯对外谍报局 ( SVR ) 有经营。亚马逊澄莹说，尽管 APT29 使用的蓄积垂钓页面被伪装成 AWS 域，但亚马逊或其云平台的凭证王人不是这些蜿蜒的平直贪图。

其公告中写说念："他们使用的一些域名试图乱来贪图，让东说念主们笃信这些域是 AWS 域（但事实并非如斯），但亚马逊不是贪图，该组织也不是贪图 AWS 客户凭证。相背，APT29 通过 Microsoft 良友桌面寻找贪图的 Windows 把柄。"

威迫者以针对天下政府、智库和探求机构的高度复杂的蜿蜒而闻明，频繁使用蓄积垂钓和坏心软件来窃取敏锐信息。

天下领域内的贪图组织

尽管 APT29 最近的行径在乌克兰产生了紧要影响，但其领域很平时，并针对多个被视为俄罗斯敌手的国度。

亚马逊指出，在此次特定的行径中，APT29 解任其典型的"窄贪图"战略的相背口头，向比等闲更多的贪图发送了蓄积垂钓电子邮件。乌克兰计较机关键反馈小组 ( CERT-UA ) 发布了关连这些"流氓 RDP "附件的公告，以警告他们在" UAC-0215 "下追踪的大限制电子邮件行径。

这些音信的主题是管制亚马逊和微软职业的"集成"问题以及实施"零信任"蓄积安全架构（零信任架构，ZTA）。

这些电子邮件包含 RDP（良友桌面合同）衔接文献，其称号如"零信任安全环境合规性检查 .rdp "，掀开时会自动首先与坏心职业器的衔接。

坏心 RDP 设立屏幕

从上头这些 RDP 衔接设立文献之一的图像不错看出，它们与蜿蜒者戒指的 RDP 职业器分享所有土产货资源，包括：

·土产货磁盘和文献

·蓄积资源

·打印机

·COM 端口

·音频建设

·剪贴板

此外，UA-CERT 示意，它们还不错用于在受感染的建设上引申未经授权的门径或剧本。

分享驱动器和建设被重定向到蜿蜒者的 RDP 职业器

诚然亚马逊示意，该行径用于窃取 Windows 把柄，但由于贪图的土产货资源与蜿蜒者的 RDP 职业器分享，因此威迫者也不错平直从分享建设窃取数据。

这包括存储在贪图硬盘、Windows 剪贴板和映射蓄积分享上的所罕有据。 CERT-UA 提议应仔细检查其公告 IoC 部分中分享的 IP 地址的蓄积交互日记，以检测可能的蜿蜒或违纪迹象。此外，提议给与以下行径来减少蜿蜒面：

1. 在邮件网关处远离" .rdp "文献。

2. 驻扎用户在不需要时首先任何" .rdp "文献。

3. 设立防火墙栽种以收尾从 mstsc.exe 门径到外部蓄积资源的 RDP 衔接。

4. 设立组战略以通过 RDP 禁用资源重定向（"良友桌面职业" ->"良友桌面会话主机" ->"建设和资源重定向" ->"不允许 ... "）。

现在，APT29 仍然是俄罗斯最浩大的蓄积威迫之一，善于使用间谍软件供应商私有的错误。据显现，前年威迫者蜿蜒了 TeamViewer、Microsoft 和 Hewlett Packard Enterprise 等关键软件供应商。

本月早些时代开云体育，APT29 "集体"就运用 Zimbra 和 JetBrains TeamCity 职业器错误碎裂天下关键组织。