跳過主内容

Midnight Blizzard 使用 RDP 檔案進行大規模魚叉式網路釣魚活動

作者:微軟威脅情報團隊

October 29, 2024

自 2024 年 10 月 22 日起,Microsoft Threat Intelligence 觀察到俄羅斯威脅行為者 Midnight Blizzard 向政府、學術界、國防、非政府組織及其他領域的個人發送了一系列高度針對性的網路釣魚電子郵件。這一活動仍在持續,微軟將繼續調查並提供最新消息。根據對以往 Midnight Blizzard 網路釣魚活動的調查,微軟評估此行動的目標可能是情報收集。微軟發布此部落格,旨在通知大眾和干擾該威脅行為者的活動,並提供有關這些外部網路釣魚嘗試的背景資訊,這些都是常見的攻擊技術,並不代表微軟有任何新的安全漏洞。

此活動中的魚叉式網路釣魚電子郵件被傳送到 100 多個組織的數千個目標,並包含連接到攻擊者控制的伺服器的已簽署遠端桌面通訊設定 (RDP) 設定檔。在某些誘餌中,攻擊者試圖透過冒充微軟員工來增加其惡意訊息的可信度。威脅行為者也在網路釣魚誘餌中引用了其他雲端提供者。

雖然此活動主要針對 Midnight Blizzard 的許多常見目標,但使用簽署的 RDP 設定檔來存取目標裝置,代表了該攻擊者的新型存取方式。烏克蘭電腦緊急應變團隊 (CERT-UA) 和亞馬遜 (Amazon) 也報告了重疊活動,編號為 UAC-0215

Midnight Blizzard 是一個俄羅斯威脅組織,美國和英國政府將其歸屬於俄羅斯聯邦對外情報局(也稱為 SVR)。據了解,該威脅行為者主要針對美國和歐洲的政府、外交實體、非政府組織 (NGOs) 和 IT 服務提供者。Midnight Blizzard 的目標是透過長期而專注的間諜活動收集外國利益的情報,這一活動可以追溯到 2018 年初。其操作經常涉及入侵有效帳戶,並在某些高度目標化的情況下,使用先進技術來破壞組織內的身份驗證機制,以擴大存取範圍並避開偵測。

Midnight Blizzard 的營運目標一致且持久,很少改變。它使用多種初始存取方法,包括魚叉式網路釣魚、竊取憑證、供應鏈攻擊、破壞本地環境以橫向遷移到雲端,以及利用服務提供者的信任鏈來存取下游客戶。據了解,Midnight Blizzard 使用 Active Directory 同盟服務 (AD FS) 惡意軟體,稱為 FOGGYWEBMAGICWEB。Midnight Blizzard 被同業資安廠商識別為 APT29、UNC2452 和 Cozy Bear。

與任何觀察到的國家行為者活動一樣,微軟正在直接通知已成為目標或受到損害的客戶,為他們提供必要的資訊以保護其帳戶。強而有力的反網路釣魚措施將有助於減輕這種威脅。作為我們幫助防範網路威脅的承諾的一部分,我們在本文末尾提供了入侵指標 (IOCS)、搜尋查詢、檢測詳細資訊和建議。

魚叉式網路釣魚活動

2024 年 10 月 22 日,微軟發現了魚叉式網路釣魚活動,其中 Midnight Blizzard 向 100 多個組織的數千名用戶發送網路釣魚電子郵件。這些電子郵件具有很強的針對性,使用與微軟、Amazon Web Services (AWS) 和零信任概念相關的社交工程誘餌。這些電子郵件包含使用 LetsEncrypt 憑證簽署的遠端桌面設定檔 (RDP)。RDP 設定 (.RDP) 檔案總結了與 RDP 伺服器成功連線時建立的自動設定和資源對應。這些配置將本機系統的功能和資源擴展到由參與者控制的遠端伺服器。

在此活動中,惡意 .RDP 附件包含多個敏感設置,可能會導致重大資訊外洩。一旦目標系統受到威脅,它就會連接到攻擊者控制的伺服器,並將目標用戶的本地設備資源雙向映射到伺服器。傳送至伺服器的資源可以包括但不限於所有邏輯硬碟、剪貼簿內容、印表機、連接的周邊設備、音訊以及Windows作業系統的身份驗證功能和設施,包括智慧卡。此存取可能使威脅行為者能夠在目標的本機磁碟機和已對應的網路共用上安裝惡意軟體,特別是在 AutoStart 資料夾中,或安裝遠端存取木馬 (RATs) 等其他工具,以在 RDP 會話結束後維持存取。與攻擊者控制的系統建立 RDP 連線的過程,也可能會暴露目標系統上已登入用戶的憑證。

A screenshot of the dialog box to allow the malicious remote connection initiated by the threat actor

RDP 連接

當目標使用者開啟 .RDP 附件時,就會與攻擊者控制系統的 RDP 建立連線。 RDP 連接的配置使攻擊者控制的系統能發現和利用有關目標系統的訊息,包括:

  • 檔案和目錄
  • 連接的網路磁碟機
  • 連接的周邊設備,包括智慧卡、印表機和麥克風
  • 使用Windows Hello、金鑰或安全金鑰的網頁身份驗證
  • 剪貼簿數據
  • 服務點(也稱為銷售點或 POS)設備

目標

微軟觀察到這次活動針對了數十個國家的政府機構、高等教育機構、國防部門和非政府組織,尤其是在英國、歐洲、澳洲和日本。這一目標範圍與其他 Midnight Blizzard 的網路釣魚活動相符。

電子郵件基礎設施

在這次活動中,Midnight Blizzard 使用從先前入侵所收集到的合法組織的電子郵件地址,發送了網路釣魚郵件。使用的域名詳列於下面的 IOC 部分。

緩解措施

微軟建議採取以下緩解措施來減少此威脅的影響。

加強運作環境配置

加強端點安全性配置

如果您使用 Microsoft Defender for Endpoint,請執行下列步驟:

  • 確保在 Microsoft Defender for Endpoint 中啟用防篡改保護
  • 在 Microsoft Defender for Endpoint 中啟用網路保護
  • 啟用網頁防護
  • 執行封鎖模式中的端點偵測和回應 (EDR),以便Microsoft Defender for Endpoint 協助您阻止惡意項目,即使您的非微軟防毒軟體未偵測到威脅或Microsoft Defender 防毒軟體在被動模式下運行時也是如此。封鎖模式下的 EDR 在幕後工作,幫助修復違規後偵測到的惡意物件。
  • 在全自動模式下設定調查和修復,讓 Microsoft Defender for Endpoint 能立即對警報採取行動,協助解決入侵問題,從而顯著減少警報量。
  • Microsoft Defender XDR 客戶可以啟用以下受攻擊面縮小規則,以協助防止威脅行為者常用的攻擊技術。
  • 封鎖來自電子郵件用戶端和網路郵件中的可執行內容
  • 阻止可執行檔的運行,除非它們符合流行度、年齡或可信任清單標準

加強防毒配置

  • 在 Microsoft Defender 防毒軟體或其他防毒產品啟用雲端保護功能,以應對快速演變的攻擊者工具和技術。雲端機器學習保護能幫助阻擋大多數新型和未知的變體。
  • 下載的檔案和附件啟用 Microsoft Defender 防毒掃描。
  • 啟用 Microsoft Defender 防毒即時保護功能

加強 Microsoft Office 365 配置

  • 開啟 Office 365 的安全連結安全附件
  • 在 Office 365 中啟用零時差自動清除 (ZAP),以協助隔離已發送的郵件,根據新取得的威脅情報,回溯性地消除已經送達郵箱的惡意網路釣魚、垃圾郵件或惡意軟體訊息。

加強電子郵件安全配置

  • 投資先進的反網路釣魚解決方案,以監控進入的電子郵件和造訪的網站。例如,Microsoft Defender for Office 365 結合了跨電子郵件、設備和身份的事件和警報管理,集中調查電子郵件相關威脅。組織還可以利用網路瀏覽器自動識別並協助封鎖惡意網站,包括用於網路釣魚活動的網站。
  • 如果您使用的是 Microsoft Defender for Office 365,請將其設定為在點擊時重新檢查連結。安全連結提供對進入郵件中的 URL 進行掃描和重寫,並在點擊時驗證電子郵件,其他 Microsoft 365 應用程式(例如 Teams)和其他位置(例如 SharePoint Online)中的 URL 和連結的點擊時間驗證。除了 Microsoft Exchange Online Protection (EOP) 中的常規反垃圾郵件反惡意軟體保護之外,還會進行安全性連結掃描。安全連結掃描可以幫助保護組織免受網路釣魚和其他攻擊中使用的惡意連結的侵害。
  • 如果您使用的是 Microsoft Defender for Office 365,請利用攻擊模擬訓練來進行真實且安全的網路釣魚和密碼攻擊模擬活動。進行魚叉式網路釣魚(憑證收集)模擬,訓練最終用戶點擊未經請求的訊息中的 URL 並泄露憑證。

進行用戶教育

  • 強大的使用者教育有助於減輕社交工程和網路釣魚電子郵件的威脅。公司應建立一個用戶教育計劃,強調如何識別和報告可疑電子郵件。

Microsoft Defender XDR 偵測

Microsoft Defender 端點

以下警報也可能表明與此威脅相關的威脅活動。但是,這些警報也可能會由不相關的威脅活動觸發,並不會在此報告提供的狀態卡中進行監控。

  • Midnight Blizzard Actor 活動小組
  • 可疑的 RDP 會話

Microsoft Defender 防毒軟體

Microsoft Defender 防毒軟體能偵測到部分惡意 .RDP 檔案,具有以下簽名:

  • 後門:Script/HustleCon.A

適用於雲端的 Microsoft Defender 

以下警報也可能表明與此威脅相關的威脅活動。但是,這些警報也可能會由不相關的威脅活動觸發,並不會在此報告提供的狀態卡中進行監控。

  • 與威脅情報識別的可疑域進行通訊
  • 可疑的外發 RDP 網路活動
  • 從建議封鎖的 IP 位址偵測到的流量

適用於 Office 365 Microsoft Defender

Microsoft Defender for Office 365 基於電子郵件和附件的偵測,針對此活動發出警報。此外,也在偵測中納入搜尋簽名和 RDP 檔案解析器,以阻止未來類似的活動。防禦者可以在引用 RDP 的警報標題中識別此類活動,例如 Trojan_RDP*

威脅情報報告

微軟客戶可以使用以下報告,獲取有關威脅行為者、惡意活動和本文中討論的技術最新資訊。這些報告提供威脅情報、保護資訊以及建議的操作,以預防、減輕或應對客戶環境中發現的相關威脅。

Microsoft Defender 威脅情報

進階搜捕

Microsoft Defender XDR

確定潛在的 Midnight Blizzard 目標接收者

在電子郵件寄件者源自與 RDP 活動相關的 Midnight Blizzard 被入侵網域的環境中,顯示可能的目標電子郵件帳號。

EmailEvents

| where SenderFromDomain in~ (“sellar.co.uk”, “townoflakelure.com”, “totalconstruction.com.au”, “swpartners.com.au”, “cewalton.com”)

| project SenderFromDomain, SenderFromAddress, RecipientEmailAddress, Subject, Timestamp

顯示 RDP 附件網路釣魚嘗試的潛在目標

顯示附有附加遠端桌面設定 (RDP) 檔案的電子郵件。這表示電子郵件的收件者可能已成為 RDP 附件網路釣魚攻擊的目標。

EmailAttachmentInfo

| where FileName has “.rdp”

| join kind=inner (EmailEvents) on NetworkMessageId

| project SenderFromAddress, RecipientEmailAddress, Subject, Timestamp, FileName, FileType

 

識別 RDP 附件網路釣魚攻擊中潛在的成功目標資產

查找可能在接收到附有 RDP 檔案的電子郵件後,從該設備向外部網路發起 RDP 連接嘗試的設備。這種結合活動可能表明該設備已成功成為 RDP 附件網路釣魚攻擊的目標。

// Step 1: Identify emails with RDP attachments

let rdpEmails = EmailAttachmentInfo

| where FileName has “.rdp”

| join kind=inner (EmailEvents) on NetworkMessageId

| project EmailTimestamp = Timestamp, RecipientEmailAddress, NetworkMessageId, SenderFromAddress;

// Step 2: Identify outbound RDP connections

let outboundRDPConnections = DeviceNetworkEvents

| where RemotePort == 3389

| where ActionType == “ConnectionAttempt”

| where RemoteIPType == “Public”

| project RDPConnectionTimestamp = Timestamp, DeviceId, InitiatingProcessAccountUpn, RemoteIP;

// Step 3: Correlate email and network events

rdpEmails

| join kind=inner (outboundRDPConnections) on $left.RecipientEmailAddress == $right.InitiatingProcessAccountUpn

| project EmailTimestamp, RecipientEmailAddress, SenderFromAddress, RDPConnectionTimestamp, DeviceId, RemoteIP

 

電子郵件中附加的威脅參與者 RDP 連線文件

顯示可能已收到電子郵件中附加的 RDP 連結電子郵件的用戶,該電子郵件是在 Midnight Blizzard 的攻擊中觀察到的。

EmailAttachmentInfo

| where FileName in~ (

“AWS IAM Compliance Check.rdp”,

“AWS IAM Configuration.rdp”,

“AWS IAM Quick Start.rdp”,

“AWS SDE Compliance Check.rdp”,

“AWS SDE Environment Check.rdp”,

“AWS Secure Data Exchange – Compliance Check.rdp”,

“AWS Secure Data Exchange Compliance.rdp”,

“Device Configuration Verification.rdp”,

“Device Security Requirements Check.rdp”,

“IAM Identity Center Access.rdp”,

“IAM Identity Center Application Access.rdp”,

“Zero Trust Architecture Configuration.rdp”,

“Zero Trust Security Environment Compliance Check.rdp”,

“ZTS Device Compatibility Test.rdp”

)

| project Timestamp, FileName, SHA256, RecipientEmailAddress, SenderDisplayName, SenderFromAddress

 

Microsoft Sentinel – 雲端原生的 SIEM 解決方案

Microsoft Sentinel 用戶可以使用 TI Mapping 分析(所有分析均以「TI 地圖」為前綴)自動將本部落格文章中提到的惡意域指標與其工作區中的資料進行比對。如果目前尚未部署 TI Map 分析,客戶可以從 Microsoft Sentinel 內容中樞安裝威脅情報解決方案,以便在其 Sentinel 工作區中部署分析規則。

入侵指標

電子郵件寄件者網域:

網域 最後出現時間
sellar[.]co.uk  October 23, 2024
townoflakelure[.]com  October 23, 2024
totalconstruction[.]com.au  October 23, 2024
swpartners[.]com.au  October 23, 2024
cewalton[.]com  October 23, 2024

 

RDP 檔名:

  • AWS IAM Compliance Check.rdp
  • AWS IAM Configuration.rdp
  • AWS IAM Quick Start.rdp
  • AWS SDE Compliance Check.rdp
  • AWS SDE Environment Check.rdp
  • AWS SDE Environment Check.rdp
  • AWS Secure Data Exchange – Compliance Check.rdp
  • AWS Secure Data Exchange Compliance.rdp
  • Device Configuration Verification.rdp
  • Device Security Requirements Check.rdp
  • IAM Identity Center Access.rdp
  • IAM Identity Center Application Access.rdp
  • Zero Trust Architecture Configuration.rdp
  • Zero Trust Security Environment Compliance Check.rdp
  • ZTS Device Compatibility Test.rdp

RDP 遠端電腦域名:

ap-northeast-1-aws.s3-ua[.]cloud ap-northeast-1-aws.ukrainesec[.]cloud
ca-central-1.gov-ua[.]cloud ca-central-1.ua-gov[.]cloud
ca-west-1.aws-ukraine[.]cloud ca-west-1.mfa-gov[.]cloud
ca-west-1.ukrtelecom[.]cloud central-2-aws.ua-mil[.]cloud
central-2-aws.ua-sec[.]cloud central-2-aws.ukrainesec[.]cloud
central-2-aws.ukrtelecom[.]cloud eu-central-1.difesa-it[.]cloud
eu-central-1.mfa-gov[.]cloud eu-central-1.mil-be[.]cloud
eu-central-1.mil-pl[.]cloud eu-central-1.minbuza[.]cloud
eu-central-1.mindef-nl[.]cloud eu-central-1.msz-pl[.]cloud
eu-central-1.quirinale[.]cloud eu-central-1.regeringskansliet-se[.]cloud
eu-central-1.s3-be[.]cloud eu-central-1.s3-esa[.]cloud
eu-central-1.s3-nato[.]cloud eu-central-1.ua-gov[.]cloud
eu-central-1.ua-sec[.]cloud eu-central-1.ukrtelecom[.]cloud
eu-central-1-aws.amazonsolutions[.]cloud eu-central-1-aws.dep-no[.]cloud
eu-central-1-aws.gov-pl[.]cloud eu-central-1-aws.gov-sk[.]cloud
eu-central-1-aws.gov-trust[.]cloud eu-central-1-aws.mfa-gov[.]cloud
eu-central-1-aws.minbuza[.]cloud eu-central-1-aws.mindef-nl[.]cloud
eu-central-1-aws.msz-pl[.]cloud eu-central-1-aws.mzv-sk[.]cloud
eu-central-1-aws.ncfta[.]cloud eu-central-1-aws.presidencia-pt[.]cloud
eu-central-1-aws.quirinale[.]cloud eu-central-1-aws.regeringskansliet-se[.]cloud
eu-central-1-aws.s3-be[.]cloud eu-central-1-aws.s3-ua[.]cloud
eu-central-1-aws.ua-gov[.]cloud eu-central-1-aws.ukrainesec[.]cloud
eu-central-2-aws.amazonsolutions[.]cloud eu-central-2-aws.aws-ukraine[.]cloud
eu-central-2-aws.dep-no[.]cloud eu-central-2-aws.gov-pl[.]cloud
eu-central-2-aws.gov-sk[.]cloud eu-central-2-aws.mil-be[.]cloud
eu-central-2-aws.mil-pl[.]cloud eu-central-2-aws.mindef-nl[.]cloud
eu-central-2-aws.msz-pl[.]cloud eu-central-2-aws.mzv-sk[.]cloud
eu-central-2-aws.presidencia-pt[.]cloud eu-central-2-aws.regeringskansliet-se[.]cloud
eu-central-2-aws.s3-be[.]cloud eu-central-2-aws.ua-gov[.]cloud
eu-central-2-aws.ua-mil[.]cloud eu-central-2-aws.ukrtelecom[.]cloud
eu-east-1-aws.amazonsolutions[.]cloud eu-east-1-aws.dep-no[.]cloud
eu-east-1-aws.gov-sk[.]cloud eu-east-1-aws.gov-ua[.]cloud
eu-east-1-aws.mil-be[.]cloud eu-east-1-aws.mil-pl[.]cloud
eu-east-1-aws.minbuza[.]cloud eu-east-1-aws.mindef-nl[.]cloud
eu-east-1-aws.msz-pl[.]cloud eu-east-1-aws.mzv-sk[.]cloud
eu-east-1-aws.quirinale[.]cloud eu-east-1-aws.regeringskansliet-se[.]cloud
eu-east-1-aws.s3-be[.]cloud eu-east-1-aws.s3-de[.]cloud
eu-east-1-aws.ua-gov[.]cloud eu-east-1-aws.ua-sec[.]cloud
eu-east-1-aws.ukrtelecom[.]cloud eu-north-1.difesa-it[.]cloud
eu-north-1.gov-trust[.]cloud eu-north-1.gov-ua[.]cloud
eu-north-1.gv-at[.]cloud eu-north-1.mil-be[.]cloud
eu-north-1.mil-pl[.]cloud eu-north-1.mzv-sk[.]cloud
eu-north-1.ncfta[.]cloud eu-north-1.regeringskansliet-se[.]cloud
eu-north-1.s3-be[.]cloud eu-north-1.s3-de[.]cloud
eu-north-1.s3-ua[.]cloud eu-north-1-aws.dep-no[.]cloud
eu-north-1-aws.difesa-it[.]cloud eu-north-1-aws.gov-pl[.]cloud
eu-north-1-aws.gov-sk[.]cloud eu-north-1-aws.mil-be[.]cloud
eu-north-1-aws.mil-pl[.]cloud eu-north-1-aws.minbuza[.]cloud
eu-north-1-aws.ncfta[.]cloud eu-north-1-aws.presidencia-pt[.]cloud
eu-north-1-aws.quirinale[.]cloud eu-north-1-aws.regeringskansliet-se[.]cloud
eu-north-1-aws.s3-be[.]cloud eu-north-1-aws.s3-de[.]cloud
eu-north-1-aws.ua-energy[.]cloud eu-north-1-aws.ua-gov[.]cloud
eu-south-1-aws.admin-ch[.]cloud eu-south-1-aws.dep-no[.]cloud
eu-south-1-aws.difesa-it[.]cloud eu-south-1-aws.gov-pl[.]cloud
eu-south-1-aws.gov-trust[.]cloud eu-south-1-aws.mfa-gov[.]cloud
eu-south-1-aws.mil-be[.]cloud eu-south-1-aws.minbuza[.]cloud
eu-south-1-aws.mzv-sk[.]cloud eu-south-1-aws.quirinale[.]cloud
eu-south-1-aws.s3-be[.]cloud eu-south-1-aws.s3-de[.]cloud
eu-south-1-aws.ua-gov[.]cloud eu-south-2.dep-no[.]cloud
eu-south-2.gov-pl[.]cloud eu-south-2.gov-sk[.]cloud
eu-south-2.mil-be[.]cloud eu-south-2.mil-pl[.]cloud
eu-south-2.mindef-nl[.]cloud eu-south-2.s3-be[.]cloud
eu-south-2.s3-de[.]cloud eu-south-2.s3-esa[.]cloud
eu-south-2.s3-nato[.]cloud eu-south-2.ua-sec[.]cloud
eu-south-2.ukrainesec[.]cloud eu-south-2-aws.amazonsolutions[.]cloud
eu-south-2-aws.dep-no[.]cloud eu-south-2-aws.gov-pl[.]cloud
eu-south-2-aws.gov-sk[.]cloud eu-south-2-aws.mfa-gov[.]cloud
eu-south-2-aws.mil-be[.]cloud eu-south-2-aws.mil-pl[.]cloud
eu-south-2-aws.mil-pt[.]cloud eu-south-2-aws.minbuza[.]cloud
eu-south-2-aws.msz-pl[.]cloud eu-south-2-aws.mzv-sk[.]cloud
eu-south-2-aws.ncfta[.]cloud eu-south-2-aws.quirinale[.]cloud
eu-south-2-aws.regeringskansliet-se[.]cloud eu-south-2-aws.s3-be[.]cloud
eu-south-2-aws.s3-de[.]cloud eu-south-2-aws.s3-esa[.]cloud
eu-south-2-aws.s3-nato[.]cloud eu-south-2-aws.s3-ua[.]cloud
eu-south-2-aws.ua-gov[.]cloud eu-southeast-1-aws.amazonsolutions[.]cloud
eu-southeast-1-aws.aws-ukraine[.]cloud eu-southeast-1-aws.dep-no[.]cloud
eu-southeast-1-aws.difesa-it[.]cloud eu-southeast-1-aws.gov-sk[.]cloud
eu-southeast-1-aws.gov-trust[.]cloud eu-southeast-1-aws.mil-be[.]cloud
eu-southeast-1-aws.mil-pl[.]cloud eu-southeast-1-aws.mindef-nl[.]cloud
eu-southeast-1-aws.msz-pl[.]cloud eu-southeast-1-aws.mzv-cz[.]cloud
eu-southeast-1-aws.mzv-sk[.]cloud eu-southeast-1-aws.quirinale[.]cloud
eu-southeast-1-aws.s3-be[.]cloud eu-southeast-1-aws.s3-de[.]cloud
eu-southeast-1-aws.s3-esa[.]cloud eu-southeast-1-aws.s3-ua[.]cloud
eu-southeast-1-aws.ua-energy[.]cloud eu-southeast-1-aws.ukrainesec[.]cloud
eu-west-1.aws-ukraine[.]cloud eu-west-1.difesa-it[.]cloud
eu-west-1.gov-sk[.]cloud eu-west-1.mil-be[.]cloud
eu-west-1.mil-pl[.]cloud eu-west-1.minbuza[.]cloud
eu-west-1.msz-pl[.]cloud eu-west-1.mzv-sk[.]cloud
eu-west-1.regeringskansliet-se[.]cloud eu-west-1.s3-de[.]cloud
eu-west-1.s3-esa[.]cloud eu-west-1.s3-ua[.]cloud
eu-west-1.ua-gov[.]cloud eu-west-1.ukrtelecom[.]cloud
eu-west-1-aws.amazonsolutions[.]cloud eu-west-1-aws.aws-ukraine[.]cloud
eu-west-1-aws.dep-no[.]cloud eu-west-1-aws.gov-pl[.]cloud
eu-west-1-aws.gov-sk[.]cloud eu-west-1-aws.gov-trust[.]cloud
eu-west-1-aws.gov-ua[.]cloud eu-west-1-aws.mil-be[.]cloud
eu-west-1-aws.mil-pl[.]cloud eu-west-1-aws.minbuza[.]cloud
eu-west-1-aws.quirinale[.]cloud eu-west-1-aws.s3-be[.]cloud
eu-west-1-aws.s3-de[.]cloud eu-west-1-aws.s3-esa[.]cloud
eu-west-1-aws.s3-nato[.]cloud eu-west-1-aws.ua-sec[.]cloud
eu-west-1-aws.ukrainesec[.]cloud eu-west-2-aws.amazonsolutions[.]cloud
eu-west-2-aws.dep-no[.]cloud eu-west-2-aws.difesa-it[.]cloud
eu-west-2-aws.gov-pl[.]cloud eu-west-2-aws.gov-sk[.]cloud
eu-west-2-aws.gv-at[.]cloud eu-west-2-aws.mil-be[.]cloud
eu-west-2-aws.mil-pl[.]cloud eu-west-2-aws.minbuza[.]cloud
eu-west-2-aws.mindef-nl[.]cloud eu-west-2-aws.msz-pl[.]cloud
eu-west-2-aws.mzv-sk[.]cloud eu-west-2-aws.quirinale[.]cloud
eu-west-2-aws.s3-be[.]cloud eu-west-2-aws.s3-de[.]cloud
eu-west-2-aws.s3-esa[.]cloud eu-west-2-aws.s3-nato[.]cloud
eu-west-2-aws.s3-ua[.]cloud eu-west-2-aws.ua-sec[.]cloud
eu-west-3.amazonsolutions[.]cloud eu-west-3.aws-ukraine[.]cloud
eu-west-3.mil-be[.]cloud eu-west-3.mil-pl[.]cloud
eu-west-3.minbuza[.]cloud eu-west-3.mindef-nl[.]cloud
eu-west-3.msz-pl[.]cloud eu-west-3.mzv-sk[.]cloud
eu-west-3.presidencia-pt[.]cloud eu-west-3.s3-be[.]cloud
eu-west-3.s3-ua[.]cloud eu-west-3.ukrainesec[.]cloud
eu-west-3.ukrtelecom[.]cloud eu-west-3-aws.aws-ukraine[.]cloud
eu-west-3-aws.dep-no[.]cloud eu-west-3-aws.difesa-it[.]cloud
eu-west-3-aws.gov-pl[.]cloud eu-west-3-aws.gov-sk[.]cloud
eu-west-3-aws.gov-trust[.]cloud eu-west-3-aws.mil-be[.]cloud
eu-west-3-aws.mil-pl[.]cloud eu-west-3-aws.mil-pt[.]cloud
eu-west-3-aws.minbuza[.]cloud eu-west-3-aws.mindef-nl[.]cloud
eu-west-3-aws.msz-pl[.]cloud eu-west-3-aws.mzv-sk[.]cloud
eu-west-3-aws.quirinale[.]cloud eu-west-3-aws.regeringskansliet-se[.]cloud
eu-west-3-aws.s3-be[.]cloud eu-west-3-aws.s3-ua[.]cloud
eu-west-3-aws.ua-mil[.]cloud us-east-1-aws.mfa-gov[.]cloud
us-east-1-aws.s3-ua[.]cloud us-east-1-aws.ua-gov[.]cloud
us-east-1-aws.ua-sec[.]cloud us-east-2.aws-ukraine[.]cloud
us-east-2.gov-ua[.]cloud us-east-2.ua-sec[.]cloud
us-east-2.ukrainesec[.]cloud us-east-2-aws.gov-ua[.]cloud
us-east-2-aws.ua-gov[.]cloud us-east-2-aws.ukrtelecom[.]cloud
us-east-console.aws-ukraine[.]cloud us-east-console.ua-energy[.]cloud
us-west-1.aws-ukraine[.]cloud us-west-1.ua-energy[.]cloud
us-west-1.ua-gov[.]cloud us-west-1.ukrtelecom[.]cloud
us-west-1-amazon.ua-energy[.]cloud us-west-1-amazon.ua-mil[.]cloud
us-west-1-amazon.ua-sec[.]cloud us-west-1-aws.gov-ua[.]cloud
us-west-2.gov-ua[.]cloud us-west-2.ua-energy[.]cloud
us-west-2.ua-sec[.]cloud us-west-2-aws.mfa-gov[.]cloud
us-west-2-aws.s3-ua[.]cloud us-west-2-aws.ua-energy[.]cloud

參考資料

了解更多

有關微軟威脅情報社群的最新安全研究,請查看微軟威脅情報部落格:https://aka.ms/threatintelblog

若想獲取新出版物的通知並加入社群媒體討論,請在 LinkedIn 上、https://www.linkedin.com/showcase/microsoft-threat-intelligence 及 X (以前稱為 Twitter)上關注我們:https://twitter.com/MsftSecIntel

若想了解微軟威脅情報社群上,有關不斷演變的威脅環境的故事和見解,請收聽微軟威脅情報 Podcast:https://thecyberwire.com/podcasts/microsoft-threat-intelligence