俄罗斯APT28组织和网络犯罪团伙仍在使用Moobot僵尸网络

根据Trend Micro研究人员的报告，APT28组织和网络犯罪团伙仍在使用名为Moobot的Ubiquiti EdgeRouter僵尸网络。

今年1月，美国联邦调查局（FBI）、国家安全局（NSA）、美国网络司令部以及国际合作伙伴发布了一份联合网络安全咨询（CSA），警告俄罗斯关联的威胁行为者正在利用被入侵的Ubiquiti EdgeRouter来逃避全球网络行动中的检测。

全球联合警告

美国机构和国际合作伙伴（来自比利时、巴西、法国、德国、拉脱维亚、立陶宛、挪威、波兰、韩国和英国的同行）观察到多个俄罗斯关联的威胁行为者（俄罗斯总参谋部主要情报局（GRU）、85号主要特种服务中心（GTsSS），也被称为APT28、Fancy Bear和Forest Blizzard（Strontium））在使用Moobot僵尸网络。

这些威胁行为者利用僵尸网络收集凭证、收集NTLMv2摘要、代理网络流量以及托管鱼叉式网络钓鱼登录页面和定制工具。

僵尸网络活动

Moobot僵尸网络至少自2016年以来一直活跃，它还包括其他路由器和虚拟专用服务器（VPS）。在FBI拆除僵尸网络后，运营者建立了新的C2基础设施来控制受感染的系统。即使在执法部门的拆除行动后，多个僵尸网络仍然感染了设备。

Trend Micro还发现，至少有两个知名的网络犯罪团伙和俄罗斯关联的APT组织Pawn Storm在使用该僵尸网络。研究人员观察到数百台Ubiquiti EdgeRouter路由器被用于不同目的，包括SSH暴力破解、制药垃圾邮件、在NTLMv2哈希中继攻击中使用服务器消息块（SMB）反射器、代理被盗凭证在钓鱼网站上、多用途代理、加密货币挖矿和发送鱼叉式网络钓鱼邮件。

网络犯罪活动

“我们将NTLMv2哈希中继攻击和凭证钓鱼代理归因于Pawn Storm，而制药垃圾邮件似乎与臭名昭著的加拿大药房团伙有关。”Trend Micro报告称。“除了EdgeRouter设备，我们还发现受感染的Raspberry Pi和其他面向互联网的设备在僵尸网络中。此外，我们发现即使在FBI的干扰后，仍有超过350个数据中心VPS IP地址被感染。这些受感染的服务器曾经连接到旧的C&C，后来连接到新的C&C基础设施。这些可以轻易被Pawn Storm或其他威胁行为者滥用，因为犯罪僵尸网络运营者对其被盗资产保护不力。”

在对FBI于2024年1月部分拆除的Linux僵尸网络的调查中，研究人员发现了另一个运行在之前被Pawn Storm利用的EdgeRouter上的Linux僵尸网络。

这个第二个僵尸网络表现出更大的谨慎性和改进的操作安全性，因为相关的恶意软件只在内存中运行，不在磁盘上留下恶意文件。内存转储和命令与控制连接的分析表明，僵尸网络正在运行Ngioweb恶意软件的变种。证据表明，这些僵尸网络是一个可供订阅者商业使用的住宅僵尸网络的一部分。发现表明，不同的威胁行为者对攻破面向互联网的路由器有浓厚兴趣。

结论

“面向互联网的设备，如SOHO路由器，也是犯罪和间谍活动的热门资产。”报告总结道。“在受感染的Ubiquiti EdgeRouter的具体情况下，我们观察到僵尸网络运营者多年来一直在受感染的设备上安装后门SSH服务器和一套脚本，而没有引起安全行业的太多关注，从而实现了持久访问。另一个威胁行为者安装了仅在内存中运行的Ngioweb恶意软件，将这些僵尸网络加入到一个商业化的住宅代理僵尸网络中。Pawn Storm很可能轻松破解了后门SSH服务器的凭证，从而获得了可以滥用的EdgeRouter设备池。”

原文始发于微信公众号（紫队安全研究）：俄罗斯APT28组织和网络犯罪团伙仍在使用Moobot僵尸网络