俄罗斯APT沙虫组织最新的OT和间谍袭击与APT44有关

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

“沙虫”是俄罗斯最著名的威胁组织之一，参与了旨在进行间谍活动、干扰或散布虚假信息的行动。该组织以使用高度破坏性的恶意软件，如BlackEnergy和Industroyer而闻名。

自俄罗斯对乌克兰的战争开始以来，该组织一直专注于在乌克兰内部制造混乱，使用擦除软件和其他策略来实现其目标。其网络行动通常与常规军事活动同时发生。

人们常常认为“沙虫”与APT28（Fancy Bear）是同一个组织。虽然它们的一些活动有重叠之处，它们都是俄罗斯军事情报局（GRU）安全服务的信息行动部队（VIO）的一部分，但Mandiant表示它们是不同的组织，并且公司已经决定将“沙虫”升级为一个命名的高级持续性威胁，APT44。

Mandiant的新报告揭示了APT44使用了几个黑客分身，包括Cyber Army of Russia Reborn（CARR）、XAKNET和Solntsepek。

CARR很有趣，因为在过去的几个月里，它声称能够操纵美国和欧盟的关键基础设施操作技术（OT）资产。

一月份，“黑客分子”发布了视频，显示他们能够操纵波兰和美国的水务设施中的人机界面（HMI）。三月份，该组织发布了一段视频，据称显示他们通过操纵水位干扰了法国一家水电站的能源发电。

尽管无法验证他们的声明，但公开可获得的信息表明，黑客们可能确实造成了一些混乱。

Mandiant在报告中表示：“在接受美国目标的Telegram帖子发布约两周后，一位当地官员公开确认，导致其中一家声称是受害者设施的油罐溢出的‘系统故障’。据报道，这次活动是影响多个美国当地水务基础设施系统的一系列网络事件的一部分，这些事件源于‘供应商软件，使他们的水系统可以远程访问’。”

Mandiant告诉SecurityWeek，它最新的报告首次将APT44与几起袭击和行动联系起来。

例如，自2023年4月以来，APT44已经提供了可能被前沿部署的俄罗斯军队使用的基础设施，以从战场上捕获的移动设备中窃取加密的Signal和Telegram消息。

APT44还进行了一次涉及擦除软件的供应链攻击。

Mandiant说：“在最近的一个案例中，对软件开发人员的访问导致了东欧和中亚的关键基础设施网络受到影响，随后对特定受害组织部署了擦除软件。”

最近针对总部位于荷兰的调查新闻组织Bellingcat和其他类似实体的攻击现在也首次被归因于APT44。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：俄罗斯APT“沙虫”组织最新的OT和间谍袭击与APT44有关