美国网络安全和基础设施安全局 (CISA) 警告称，其发现威胁行为者利用 F5 BIG-IP 本地流量管理器 (LTM) 模块管理的未加密持久 cookie 对目标网络进行侦察。

据称，该模块被用来枚举网络上其他非互联网设备。然而，该机构并未透露此次活动的幕后黑手是谁，也未透露此次活动的最终目标是什么。

CISA在一份咨询报告中表示：“恶意网络行为者可以利用从未加密的持久性 cookie 收集的信息来推断或识别额外的网络资源，并可能利用网络上其他设备中发现的漏洞。”

它还建议各组织通过在 HTTP 配置文件中配置 cookie 加密来加密 F5 BIG-IP 设备中使用的持久性 cookie。此外，它还敦促用户通过运行 F5 提供的名为BIG-IP iHealth的诊断实用程序来验证其系统的保护情况，以识别潜在问题。

F5 在一份支持文件中指出：“BIG-IP iHealth 系统的 BIG-IP iHealth 诊断组件会根据已知问题、常见错误和已发布的 F5 最佳实践的数据库，评估 BIG-IP 系统的日志、命令输出和配置。”

“优先结果提供了有关配置问题或代码缺陷的定制反馈，并提供了问题描述和解决建议。”

与此同时，英国和美国网络安全机构发布联合公告，详细说明了俄罗斯国家支持的行为者针对外交、国防、技术和金融部门收集外国情报并为未来的网络行动提供支持的企图。

此次活动被归咎于一个被追踪为APT29 的威胁行为者，该组织也被称为 BlueBravo、Cloaked Ursa、Cozy Bear 和 Midnight Blizzard。据了解，APT29 是俄罗斯军事情报机器中的关键一环，隶属于对外情报局 (SVR)。

“SVR 网络入侵高度重视保持匿名和不被发现。攻击者在整个入侵过程中广泛使用 TOR——从最初的目标锁定到数据收集——以及整个网络基础设施，”该机构表示。

“这些攻击者使用各种虚假身份和低信誉电子邮件账户来租赁运营基础设施。SVR 从主要托管服务提供商的经销商处获得基础设施。”

APT29 发起的攻击被归类为旨在收集情报和建立持久访问权限以促进供应链入侵的攻击（即意图目标），以及允许他们托管恶意基础设施或利用公开已知的缺陷、弱凭证或其他错误配置从受入侵账户进行后续操作的攻击（即机会目标）。

重点指出的一些重大安全漏洞包括CVE-2022-27924（Zimbra Collaboration 中的命令注入漏洞）和CVE-2023-42793（允许在 TeamCity Server 上执行远程代码的严重身份验证绕过漏洞）。

APT29 是一个相关的例子，威胁行为者不断创新他们的策略、技术和程序，试图保持隐秘并绕过防御，甚至会破坏他们的基础设施并抹去任何证据，以防怀疑他们的入侵被受害者或执法部门发现。

另一种值得注意的技术是广泛使用代理网络，包括移动电话提供商或住宅互联网服务，与位于北美的受害者进行互动并融入合法流量。

该机构表示：“为了阻止这种活动，组织应该对授权设备进行基准检查，并对不遵守基准的访问其网络资源的系统进行额外审查。”