亚马逊挫败俄GRU黑客攻击边缘设备

快速阅读: 据亚马逊安全团队消息，其近日成功阻断俄罗斯GRU下属“Curly COMrades”黑客组织针对西方能源基础设施的网络攻击。该团伙自2024年起转向利用客户边缘设备配置错误实施入侵，未涉及AWS平台漏洞；亚马逊已协同客户响应，并建议加强管理接口隔离与安全监控。

亚马逊安全团队近日披露，已成功阻断一起由俄罗斯军事情报总局（GRU）下属黑客组织发起的网络攻击。该组织自2021年起持续针对西方关键基础设施，尤其聚焦能源领域，企图渗透客户在云环境中的系统。

初期，该组织主要利用WatchGuard、Confluence和Veeam等软件的已知漏洞及零日漏洞实施初始入侵。但自2024年起，其战术明显转变，更多转向利用客户网络边缘设备的配置错误来获取访问权限。这些设备包括企业路由器、VPN网关、网络管理设备、协作平台以及云端项目管理工具。

亚马逊集成安全首席信息安全官CJ Moses指出，攻击者通过瞄准暴露在外的管理接口等“低垂果实”，同样能实现长期潜伏与窃取凭证的战略目标。到2025年，该组织进一步减少对漏洞利用的依赖，转而持续专注于攻击配置不当的设备，体现出作战节奏的危险演进。

尽管战术不断调整，其核心目标始终未变：以最少资源和最低暴露风险窃取凭证，并在受害网络内横向移动。基于攻击模式与基础设施的高度重叠，亚马逊高度确信此次行动由GRU关联的“Curly COMrades”团伙实施，该团伙可能负责更广泛GRU行动中的后期渗透任务。

被攻陷的设备均为客户自主管理、部署于AWS EC2实例的网络设备，攻击并未利用AWS平台自身的缺陷。发现威胁后，亚马逊迅速采取措施保护受影响实例，通知相关客户，并向厂商及行业伙伴共享情报。通过协同响应，已有效扰乱该子集群的活跃行动，缩小其攻击面。

公司建议客户立即开展网络设备安全审计，监控凭证重放行为及管理门户的异常访问。在AWS环境中，应隔离管理接口、收紧安全组策略，并启用CloudTrail、GuardDuty与VPC流日志等安全服务。同时提醒，所公布的恶意IP多为被劫持的合法服务器，需结合上下文研判后再行封禁。

(以上内容均由Ai生成)

引用自：BleepingComputer网站