基于乌克兰的复杂自治系统网络已成为重大网络安全威胁,策划了针对 SSL VPN 和 RDP 基础设施的大规模暴力攻击和密码喷洒攻击。
2025 年 6 月至 7 月期间,这些恶意网络在长达三天的时间内发起了数十万次协同攻击,目标是关键的企业远程访问系统。
该活动涉及一个复杂的互连网络网络,主要围绕三个乌克兰自治系统:FDN3 (AS211736)、VAIZ-AS (AS61432) 和 ERISHENNYA-ASN (AS210950),以及一个位于塞舌尔的网络 TK-NET (AS210848)。
这些网络于 2021 年 8 月进行战略分配,此后一直进行系统性基础设施纵,频繁交换 IPv4 前缀以逃避黑名单工作并保持运营连续性。
Intrinsec 研究人员通过对蜜罐网络的广泛监控确定了这种威胁基础设施,揭示了在 2025 年 7 月的三天内达到超过 130 万次个人尝试的攻击模式。
攻击者表现出了复杂的协调能力,多个 IP 地址同时针对暴露的 VPN 端点和远程桌面协议服务发起相同的攻击模式。
犯罪基础设施通过与成熟的防弹托管服务提供商合作来运作,其中最著名的是 IP Volume Inc. (AS202425),这是一家由埃卡特运营商创建的塞舌尔幌子公司。
这种安排为乌克兰网络提供了匿名性和弹性,使它们能够在执法部门的关注和行业黑名单努力的情况下维持运营。
网络基础设施和攻击机制
这些攻击的技术架构揭示了精心的规划和资源分配。主要攻击媒介利用协调的 IP 范围,前缀 88.210.63.0/24 作为最密集活动的焦点。
对攻击日志的分析显示了精确同步的激活模式,在高峰作期间,单个 IP 地址每个 IP 地址都会产生 108,000 到 113,000 次攻击尝试。
攻击者采用密码喷洒技术而不是传统的暴力破解方法,尝试在大量帐户中使用通用密码以避免帐户锁定机制。
事实证明,这种方法对于密码策略较弱或身份验证端点速率限制不足的组织特别有效。
这些活动专门针对 Fortinet、Palo Alto 和 Cisco VPN 设备,旨在建立可以绕过传统端点检测和响应解决方案的高权限初始接入点。
网络流量分析显示,该基础设施通过托管在同一自治系统中的 Amadey 恶意软件面板保持持久的命令和控制通信。
几台 C2 服务器保持活动状态,包括 185.156.72.96 和 126 个活动机器人连接和 185.156.72.97 维护 122 个受感染端点,表明在初始访问尝试之后,利用后活动成功。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
