俄羅斯國家級駭客鎖定 RDP 與 VPN 協定漏洞，企圖入侵企業網路

俄羅斯國家級駭客鎖定 RDP 與 VPN 協定漏洞，企圖入侵企業網路

俄羅斯國家級駭客組織及其背後的網路犯罪合作夥伴已發展出一套獲利模式：他們不僅僅是從正門強行突破，更是在後門尋找破綻。透過鎖定暴露在外的遠端桌面協定 (RDP) 服務與防護薄弱的 VPN 閘道，這些駭客正試圖在政府、關鍵基礎設施及企業網路中建立長期立足點。這是一場結合了傳統暴力破解、供應鏈破壞與精巧釣魚攻擊的多重威脅挑戰。其結果往往是長期的間諜活動，以及在系統內部靜默部署旨在破壞運作的惡意軟體。

來自美國、澳洲、加拿大、紐西蘭與英國的網路安全監管機構已發布聯合安全諮詢，發出嚴正警告。事實上，我們正面對一個精簡且具工業規模的生態系統。初始存取代理商 (Initial Access Brokers) 負責執行繁重的工作——竊取 RDP 與 VPN 憑證——隨後在暗網論壇上將其拍賣給出價最高者，無論是勒索軟體集團還是國家支持的情報單位。

初始存取的機制

為什麼要大費周章地重新發明輪子，當你可以直接踢開它？利用 RDP 與 VPN 基礎設施已成為這些威脅行為者阻力最小的路徑。他們部署了龐大的殭屍網路（部分擁有超過 10 萬個獨立 IP 位址），針對公開的 RDP 服務進行時序攻擊與登入枚舉。透過自動化的憑證填充 (Credential Stuffing) 技術，他們系統性地篩選企業環境，直到找到重複使用或過於簡單的密碼為止。

但他們的手段已遠超單純的暴力破解：

• 武器化的 RDP 設定檔： 魚叉式網路釣魚活動現在會傳送惡意的 RDP 設定檔。一旦使用者點擊，攻擊者即可獲得遠端存取權限，且不會觸發典型的防毒軟體或端點偵測警報。這種方式隱蔽且有效。
• VPN 設備漏洞利用： 如果公司未修補 VPN 硬體漏洞，基本上等於將鑰匙留在車上。攻擊者會持續掃描已知漏洞，以繞過身份驗證或執行任意程式碼。
• 供應鏈滲透： 當攻擊硬目標太困難時，為何不攻擊他們的軟體供應商或託管服務供應商 (MSP)？透過入侵供應商，攻擊者可以獲得通往最終目標的「信任」後門，完全繞過主要的安全性邊界。

進階釣魚與社交工程

攻擊手法已經改變。駭客正逐漸捨棄過去「亂槍打鳥」式的憑證竊取，轉而採用複雜的社交工程，使傳統的密碼安全機制失效。我們觀察到濫用 Microsoft 365 OAuth 工作流程的情況激增。透過誘騙使用者授予惡意應用程式權限，即使使用者更改密碼，攻擊者仍能維持存取權限。此外，「QR 碼釣魚」(Quishing) 也日益盛行，透過通訊軟體散佈惡意 QR 碼以繞過電子郵件過濾器。

這些並非單一事件，攻擊手法往往是層層疊加的。透過釣魚式 OAuth 入侵獲得的立足點，可能被用來停用安全設定或建立新的管理員帳號，進而作為通往 VPN 存取或 RDP 連線的橋樑。這對駭客而言是一種「縱深防禦」策略。即使你堵住了一個漏洞，他們早已鑽出了另一個。

對基礎設施與商業領域的影響

其後果往往不容小覷。這涉及大規模的資料外洩、智慧財產權竊取，以及日益頻繁的勒索軟體部署。針對歐洲與烏克蘭基礎設施的攻擊行動明確顯示了其意圖：破壞。根據近期的網路安全報告，這些滲透行動通常是部署 LockBit 3.0 和 X2 等勒索軟體家族的前奏，旨在加密關鍵系統並勒索贖金。

防禦強化與緩解措施

如果您是安全專業人員，現在是時候停止將遠端存取視為次要問題了。國家網路安全協調中心明確指出：修補已知漏洞並強制執行多因素身份驗證 (MFA) 仍然是您最好的防禦防線。

您應該從哪裡開始？

• 積極修補： 如果您的 VPN 設備或遠端存取軟體有更新，請立即安裝。已知漏洞是這些駭客的首要目標。
• 防釣魚 MFA： 如果您的 MFA 可以透過簡單的推播通知或簡訊驗證碼繞過，是時候升級了。請轉向使用硬體金鑰或符合 FIDO2 標準的解決方案。
• 關閉公開 RDP： 幾乎沒有理由將 RDP 暴露在公用網際網路上。如果您必須進行遠端存取，請將其置於安全閘道或具有嚴格、細緻存取控制的 VPN 之後。
• 憑證衛生： 停止密碼重複使用的瘋狂行為。監控憑證填充的跡象，並確保您的內部身份驗證服務已妥善鎖定。
• 可視性至關重要： 您無法阻止看不見的威脅。增強您的日誌記錄，特別是針對遠端存取服務。留意異常的登入時間、可疑的地理位置或登入失敗次數的激增。

現代威脅環境的現實是，這些俄羅斯國家級駭客不會輕易罷手。他們資源充足、堅持不懈，並不斷迭代其方法。透過專注於遠端存取邊界的安全性並驗證供應鏈的完整性，您可以讓自己成為更難被攻擊的目標。警覺性不是一次性的專案；這是數位世界中營運的成本，在這個邊界無處不在的世界裡，保持敏銳、頻繁修補並預設最壞情況，是保持領先的唯一途徑。