俄羅斯國家級黑客針對 RDP 與 VPN 協議漏洞，企圖入侵企業網絡

俄羅斯國家級黑客針對 RDP 與 VPN 協議漏洞，企圖入侵企業網絡

俄羅斯國家級黑客組織及其網絡犯罪合作夥伴已找到一套「獲利模式」：他們不僅僅是從正門強行突破，更在尋找後門的鑰匙。透過鎖定暴露的遠端桌面協定 (RDP) 服務與脆弱的 VPN 閘道，這些黑客正試圖在政府、關鍵基礎設施及企業網絡中建立長期立足點。這是一個結合了傳統暴力破解、供應鏈破壞與精明釣魚攻擊的多向量威脅，旨在繞過防禦邊界。最終目的則是進行長期間諜活動，並悄悄部署旨在從內部破壞系統的惡意軟件。

來自美國、澳洲、加拿大、紐西蘭與英國的網絡安全監管機構已發布聯合安全公告，發出嚴正警告。事實上，我們正面臨一個精簡且工業化的攻擊生態系統。初始存取代理人 (Initial Access Brokers) 負責執行繁重的工作——竊取 RDP 與 VPN 憑證——然後在暗網論壇上將其拍賣給出價最高者，無論是勒索軟件團夥還是國家支持的情報單位。

初始存取機制

為什麼要重新發明輪子，當你可以直接踢開它？利用 RDP 與 VPN 基礎設施已成為這些威脅行為者最輕鬆的途徑。他們部署了龐大的殭屍網絡（部分擁有超過 10 萬個獨立 IP 地址），針對公開的 RDP 服務進行計時攻擊與登入枚舉。透過自動化的憑證填充 (Credential Stuffing) 技術，他們系統性地篩選企業環境，直到找到重複使用或過於簡單的密碼。

但他們的手段已遠超簡單的暴力破解：

• 武器化的 RDP 設定檔： 釣魚郵件活動現在會發送惡意的 RDP 設定檔。一旦用戶點擊，攻擊者即可獲得遠端存取權限，且不會觸發典型的防毒或端點偵測警報。這種方式隱蔽且有效。
• VPN 設備漏洞利用： 如果公司未修補 VPN 硬體，基本上等於將鑰匙留在車上。攻擊者會不斷掃描已知漏洞，以繞過身分驗證或執行任意程式碼。
• 供應鏈滲透： 為什麼要攻擊防禦嚴密的目標，而不是攻擊他們的軟體供應商或託管服務供應商 (MSP)？透過入侵供應商，攻擊者可以獲得進入最終目標的「信任」後門，完全繞過主要的防禦邊界。

進階釣魚與社交工程

攻擊手法已經改變。攻擊者正遠離過去那種「廣撒網」式的憑證竊取，轉而採用複雜的社交工程，使傳統密碼安全變得過時。我們觀察到濫用 Microsoft 365 OAuth 工作流程的情況激增。透過誘騙用戶授予惡意應用程式權限，即使在用戶更改密碼後，攻擊者仍能維持存取權限。此外，「二維碼釣魚」(Quishing) 也日益盛行，透過通訊軟體散佈惡意 QR 碼以繞過電子郵件過濾器。

這些並非孤立事件，攻擊策略往往是層層疊加的。透過釣魚式 OAuth 入侵獲得的立足點，可能被用來停用安全設定或建立新的管理員帳戶，進而作為通往 VPN 或 RDP 連線的橋樑。這是一種針對防禦者的「縱深防禦」策略。即使你堵住了一個漏洞，他們早已鑽開了另一個。

對基礎設施與商業領域的影響

其後果往往不容小覷。我們談論的是大規模的數據外洩、知識產權竊取，以及日益頻繁的勒索軟件部署。針對歐洲與烏克蘭基礎設施的攻擊行動，其意圖十分明確：破壞。根據近期的網絡安全報告，這些滲透行動往往是部署 LockBit 3.0 和 X2 等勒索軟件家族的前奏，旨在加密關鍵系統並進行勒索。

防禦強化與緩解措施

如果您是安全專業人員，現在是時候停止將遠端存取視為次要問題了。國家網絡安全協調中心明確指出：修補已知漏洞與強制執行多重身分驗證 (MFA) 仍然是您最好的防禦防線。

您應該從哪裡開始？

• 積極修補： 如果您的 VPN 設備或遠端存取軟體有更新，請立即安裝。已知漏洞是這些黑客的首要目標。
• 抗釣魚 MFA： 如果您的 MFA 可以透過簡單的推送通知或簡訊驗證碼繞過，是時候升級了。轉向使用硬體金鑰或符合 FIDO2 標準的解決方案。
• 關閉公開 RDP： 幾乎沒有理由將 RDP 暴露在公共網際網路上。如果您必須進行遠端存取，請將其置於安全閘道或具有嚴格、細緻存取控制的 VPN 後方。
• 憑證衛生： 停止密碼重複使用的瘋狂行為。監控憑證填充的跡象，並確保您的內部身分驗證服務已鎖定。
• 可視性至關重要： 您無法阻止看不見的威脅。增強您的日誌記錄，特別是針對遠端存取服務。留意異常的登入時間、可疑的地理位置或登入失敗次數的激增。

現代威脅環境的現實是，這些俄羅斯國家級黑客不會消失。他們資源充足、堅持不懈，並不斷迭代其方法。透過專注於遠端存取邊界的安全性並驗證供應鏈的完整性，您可以讓自己成為更難攻克的目標。警惕並非一次性的項目，這是數位世界中營運的成本，在這個邊界無處不在的世界裡，保持敏銳、頻繁修補並預設最壞的情況，是保持領先的唯一途徑。