俄罗斯国家支持的黑客组织利用 RDP 和 VPN 协议漏洞入侵企业网络

俄罗斯国家支持的黑客组织利用 RDP 和 VPN 协议漏洞入侵企业网络

俄罗斯国家支持的黑客组织及其背后的网络犯罪合作伙伴已经形成了一种“高收益”的模式：他们不仅在强行破门，还在通过后门潜入。通过瞄准暴露的远程桌面协议 (RDP) 服务和脆弱的 VPN 网关，这些攻击者正在政府、关键基础设施和企业网络中建立持久的立足点。这是一种多向量的威胁，结合了传统的暴力破解、供应链破坏和巧妙的网络钓鱼，以绕过安全边界。其结果是长期的间谍活动，以及旨在从内部破坏系统的恶意软件的静默部署。

来自美国、澳大利亚、加拿大、新西兰和英国的网络安全监管机构在一份联合网络安全公告中发出了警告。现实情况是，我们正面临一个精简的、工业规模的生态系统。初始访问代理商（Initial Access Brokers）负责繁重的工作——窃取 RDP 和 VPN 的凭据——然后将其在暗网论坛上拍卖给最高出价者，无论是勒索软件团伙还是国家支持的情报部门。

初始访问的机制

为什么要费力重造轮子？利用 RDP 和 VPN 基础设施已成为这些威胁行为者阻力最小的路径。他们正在部署大规模僵尸网络（部分拥有超过 10 万个独立 IP 地址），对面向公众的 RDP 服务进行时序攻击和登录枚举。通过自动化凭据填充（Credential Stuffing），他们系统地筛选企业环境，直到找到被重复使用或过于简单的密码。

但他们的手段已远超简单的暴力破解：

• 武器化的 RDP 配置： 网络钓鱼活动现在会发送恶意的 RDP 配置文件。一旦用户点击，攻击者无需触发典型的杀毒软件或端点检测警报即可获得远程访问权限。这种方式隐蔽且有效。
• VPN 设备漏洞利用： 如果公司没有修补其 VPN 硬件，本质上就是把钥匙留在了点火开关上。攻击者不断扫描已知漏洞，以绕过身份验证或执行任意代码。
• 供应链渗透： 为什么要攻击防御严密的硬目标，而不是攻击他们的软件供应商或托管服务提供商 (MSP)？通过破坏供应商，攻击者可以获得通往最终目标的“受信任”后门，从而完全绕过主要安全边界。

高级网络钓鱼与社会工程学

攻击策略已经改变。攻击者正在远离过去那种“广撒网”式的凭据窃取，转而采用复杂的社会工程学手段，使传统的密码安全失效。我们看到滥用 Microsoft 365 OAuth 工作流的情况激增。通过诱骗用户授予恶意应用程序权限，攻击者即使在用户更改密码后也能保持访问权限。此外，“二维码钓鱼”（Quishing）也在兴起——通过即时通讯应用分发恶意二维码以绕过电子邮件过滤器。

这些并非孤立事件。这些策略通常是分层叠加的。通过基于钓鱼的 OAuth 妥协获得的立足点，可能被用于禁用安全设置或创建新的管理员账户，进而作为通往 VPN 访问或 RDP 连接的桥梁。这是一种“纵深防御”策略，只不过是针对坏人而言。即使你堵住了一个漏洞，他们也早已钻出了另一个。

对基础设施和商业部门的影响

后果往往并不轻微。我们谈论的是大规模数据外泄、知识产权盗窃，以及日益频繁的勒索软件部署。针对欧洲和乌克兰基础设施的行动明确了其意图：破坏。根据最近的网络安全报告，这些渗透往往是部署 LockBit 3.0 和 X2 等勒索软件家族的前奏，这些软件旨在加密关键系统并进行勒索。

防御加固与缓解措施

如果您是安全专业人员，是时候停止将远程访问视为次要问题了。国家网络安全协调中心明确指出：修补已知漏洞和强制执行多因素身份验证 (MFA) 仍然是您最好的防线。

您应该从哪里开始？

• 积极修补： 如果您的 VPN 设备或远程访问软件有更新，请立即安装。已知漏洞是这些攻击者首先寻找的目标。
• 抗钓鱼 MFA： 如果您的 MFA 可以通过简单的推送通知或短信验证码绕过，是时候升级了。转向硬件密钥或符合 FIDO2 标准的解决方案。
• 关闭公共 RDP： 几乎没有任何理由将 RDP 暴露在公共互联网上。如果必须进行远程访问，请将其置于安全网关或具有严格、细粒度访问控制的 VPN 之后。
• 凭据卫生： 停止密码重复使用。监控凭据填充的迹象，并确保您的内部身份验证服务已锁定。
• 可见性即一切： 您无法阻止看不见的威胁。增强您的日志记录，特别是针对远程访问服务。留意异常的登录时间、可疑的地理位置或失败登录尝试的激增。

现代威胁环境的现实是，这些俄罗斯国家支持的黑客组织不会消失。他们资源充足、坚持不懈，并不断迭代其方法。通过专注于远程访问边界的安全性并验证供应链的完整性，您可以使自己成为更难被攻击的目标。警惕性不是一次性的项目；这是在边界无处不在的数字世界中经营业务的成本。保持敏锐，频繁修补，并做好最坏的打算——这是保持领先的唯一途径。