据悉，亚马逊已查获了俄罗斯 APT29 黑客组织用于针对政府和军事组织进行针对性曲折的域名伦理电影，以使用坏心辛劳桌面操作贯串文献窃取 Windows 笔据和数据。 

APT29，也被称为"抖擞熊"和"午夜暴雪"，是一个由俄罗斯国度复旧的网罗间谍组织，与俄罗斯对外谍报局 ( SVR ) 有议论。亚马逊明白说，尽管 APT29 使用的网罗垂钓页面被伪装成 AWS 域，但亚马逊或其云平台的凭证王人不是这些曲折的径直贪图。

其公告中写谈："他们使用的一些域名试图诳骗贪图，让东谈主们确信这些域是 AWS 域（但事实并非如斯），但亚马逊不是贪图，该组织也不是贪图 AWS 客户凭证。相背，APT29 通过 Microsoft 辛劳桌面寻找贪图的 Windows 笔据。"

挟制者以针对环球政府、智库和议论机构的高度复杂的曲折而闻明，往往使用网罗垂钓和坏心软件来窃取敏锐信息。

环球范畴内的贪图组织

尽管 APT29 最近的行径在乌克兰产生了首要影响，但其范畴很肤浅，并针对多个被视为俄罗斯敌手的国度。

亚马逊指出，在此次特定的行径中，APT29 驯顺其典型的"窄贪图"战术的相背形式，向比时时更多的贪图发送了网罗垂钓电子邮件。乌克兰野神思紧迫反应小组 ( CERT-UA ) 发布了干系这些"流氓 RDP "附件的公告，以警告他们在" UAC-0215 "下追踪的大限制电子邮件行径。

这些音尘的主题是措置亚马逊和微软就业的"集成"问题以及实施"零信任"网罗安全架构（零信任架构，ZTA）。

这些电子邮件包含 RDP（辛劳桌面条约）贯串文献，其称号如"零信任安全环境合规性查验 .rdp "，掀开时会自动运转与坏心就业器的贯串。

伦理电影

坏心 RDP 建树屏幕

从上头这些 RDP 贯串建树文献之一的图像不错看出，它们与曲折者箝制的 RDP 就业器分享通盘腹地资源，包括：

·腹地磁盘和文献

·网罗资源

·打印机

·COM 端口

·音频设立

·剪贴板

此外，UA-CERT 示意，它们还不错用于在受感染的设立上实施未经授权的要害或剧本。

分享驱动器和设立被重定向到曲折者的 RDP 就业器

诚然亚马逊示意，该行径用于窃取 Windows 笔据，但由于贪图的腹地资源与曲折者的 RDP 就业器分享，因此挟制者也不错径直从分享设立窃取数据。

这包括存储在贪图硬盘、Windows 剪贴板和映射网罗分享上的所罕有据。 CERT-UA 漠视应仔细查验其公告 IoC 部分中分享的 IP 地址的网罗交互日记，以检测可能的曲折或非法迹象。此外，漠视接收以下依次来减少曲折面：

1. 在邮件网关处阻截" .rdp "文献。

2. 小心用户在不需要时运转任何" .rdp "文献。

3. 建树防火墙设立以限制从 mstsc.exe 要害到外部网罗资源的 RDP 贯串。

4. 建树组战术以通过 RDP 禁用资源重定向（"辛劳桌面就业" ->"辛劳桌面会话主机" ->"设立和资源重定向" ->"不允许 ... "）。

当今，APT29 仍然是俄罗斯最雄壮的网罗挟制之一，善于使用间谍软件供应商独到的过失。据露出，客岁挟制者曲折了 TeamViewer、Microsoft 和 Hewlett Packard Enterprise 等重要软件供应商。

本月早些技能伦理电影，APT29 "集体"就诓骗 Zimbra 和 JetBrains TeamCity 就业器过失破损环球重要组织。