导 读
根据Black Lotus 实验室周三发布的研究,在一次非同寻常的数字间谍案中,俄罗斯黑客组织花了近两年的时间秘密控制巴基斯坦网络间谍的计算机系统,从而进入南亚各地敏感的政府网络。
俄罗斯黑客组织被称为 Turla 或 Secret Blizzard,征用了 33 个由巴基斯坦黑客操作的C2服务器,这些黑客自己也曾入侵过阿富汗和印度政府的目标,有时还使用市售的 Hak5 渗透测试硬件设备。
据Black Lotus 称,俄罗斯黑客闯入了巴基斯坦 APT组织(被追踪为 Storm-0156)使用的C2服务器,并利用该访问权限启动自己的恶意软件并劫持敏感数据。
研究人员表示:“最近一次活动持续了两年,是自 2019 年首次发现 [Turla] 重新利用伊朗威胁组织的 C2 以来,第四次有记录的 [Turla] 嵌入其他组织行动的案例。”
去年,Turla 还被发现使用其他黑客可能部署的旧版 Andromeda 恶意软件来针对乌克兰组织。
Turla 是一种攻击性较强的俄罗斯 APT,其目标是世界各地的大使馆和政府办公室。据观察,它还控制了 Hak5 Cloud C2 节点,这是一个为合法渗透测试而设计的平台,但在这里被用于间谍活动。
在俄罗斯黑客组织控制其行动之前, Storm-0156巴基斯坦黑客组织一直在部署物理黑客工具——市售的 Hak5 设备——来入侵印度政府机构,包括其外交部。
2022 年底,Black Lotus 实验室的研究人员表示,俄罗斯组织利用 Storm-0156 在阿富汗政府网络和巴基斯坦运营商工作站中现有的立足点。从这个有利位置,Turla 部署了专有恶意软件(标记为 TwoDash 和 Statuezy),窃取了巴基斯坦运营商收集的从凭证到文件等各种数据。
Turla 渗透 Storm-0156 和阿富汗政府网络
“通过这个渠道,他们可能获得了大量数据。这些收获包括对 Storm-0156 工具的洞察、C2 和目标网络的凭证,以及从之前的行动中收集到的泄露数据。”研究人员指出。
Black Lotus 实验室表示,Storm-0156 历史上曾以印度和阿富汗政府网络为目标,并指出 Turla 进入巴基斯坦运营商工作站证明了 APT 运营商如何隐藏其踪迹并试图进行模糊的归因分析。
Black Lotus 实验室表示,到 2024 年中期,Turla 已将重点扩大到使用从巴基斯坦工作站窃取的另外两种恶意软件(Wasicot 和 CrimsonRAT)。此前发现 CrimsonRAT 被用于针对印度的政府和军事目标,研究人员发现 Turla 后来利用他们的访问权限收集了该恶意软件先前部署的数据。
Black Lotus 实验室警告称: “该组织有一个显著特点:他们大胆利用其他黑客组织的 C2 服务器来达到自己的目的。”并指出,该策略允许 Turla 运营者远程获取先前从受感染网络窃取的敏感文件,而无需使用(并可能暴露)他们自己的工具。
Storm-0156 的 Hak5 Cloud C2 与已知 C2 之间的逻辑连接
该公司补充道:“在其他威胁组织尚未获取其目标的所有感兴趣数据的情况下,他们可以在 C2 节点上收集的数据中搜索被盗的身份验证材料以获取访问权限,或使用现有访问权限来扩大收集范围并将其代理部署到网络中。”
Black Lotus 实验室表示,在监控 Turla 与被征用的 Storm-0156 C2 节点的互动时,它发现了 Storm-0156 威胁组织先前曾入侵过的阿富汗政府各个网络的信标活动。
研究人员与微软的威胁猎手一起观察了 Turla 与 CrimsonRAT C2 节点子集的交互,这些节点之前曾被用来攻击印度政府和军队。
值得注意的是,Black Lotus 实验室表示,尽管还有更多可用节点,但 Turla 仅与七个 CrimsonRAT C2 进行了接触。“这种选择性接触意味着,虽然他们有能力访问所有节点,但他们的工具部署在战略上仅限于与印度最高优先级目标相关的节点。”
2024 年 12 月 4 日,微软公司的另一份报告记录了俄罗斯 FSB 黑客组织 Turla(被追踪为 Secret Blizzard)自 2017 年以来如何系统地渗透和劫持至少六个不同国家高级黑客组织的基础设施。
Turla(Secret Blizzard) 和 Storm-0156 攻击链
微软解释说,这符合 Turla 既定的模式,此前它曾接管过伊朗(Hazel Sandstorm)、哈萨克斯坦(Storm-0473)和其他威胁组织的基础设施。微软的分析表明,这种“间谍对间谍”的方法是 FSB 的一种蓄意策略,目的是进行间谍活动,同时将其活动隐藏在其他黑客的行动背后。
技术报告:
https://blog.lumen.com/snowblind-the-invisible-hand-of-secret-blizzard/
https://www.microsoft.com/en-us/security/blog/2024/12/04/frequent-freeloader-part-i-secret-blizzard-compromising-storm-0156-infrastructure-for-espionage/
新闻链接:
https://www.securityweek.com/spy-v-spy-russian-apt-turla-caught-stealing-from-pakistani-apt/
今日安全资讯速递
APT事件
Advanced Persistent Threat
俄罗斯 APT Turla 组织被发现窃取巴基斯坦 APT 的数据
https://www.securityweek.com/spy-v-spy-russian-apt-turla-caught-stealing-from-pakistani-apt/
Kimsuky 的网络钓鱼攻击策略日趋复杂
https://dailydarkweb.net/kimsukys-phishing-attacks-evolve-with-sophisticated-strategies/
APT-C-60 黑客在 SpyGlace 恶意软件活动中利用 StatCounter 和 Bitbucket
https://thehackernews.com/2024/11/apt-c-60-exploits-wps-office.html
一般威胁事件
General Threat Incidents
供应链攻击导致去中心化应用程序开发人员下载带有后门的 Solana Web3.js 库版本
https://www.securityweek.com/solana-web3-js-library-backdoored-in-supply-chain-attack/
德国最大犯罪市场Crimenetwork 被取缔,管理员被捕
https://www.securityweek.com/largest-german-crime-marketplace-taken-down-administrator-arrested/
加密聊天服务 Matrix 遭查封,230 多万条信息被解密
https://www.pcmag.com/news/encrypted-chat-service-seized-2m-messages-read
黑客利用损坏的 ZIP 文件和 Office 文档逃避防病毒和电子邮件防御
https://thehackernews.com/2024/12/hackers-use-corrupted-zips-and-office.html
英国破坏勒索软件利用的俄罗斯洗钱网络
https://www.bleepingcomputer.com/news/security/uk-disrupts-russian-money-laundering-networks-used-by-ransomware/
英国电信集团在 Black Basta 勒索软件攻击后关闭了服务器
https://www.bleepingcomputer.com/news/security/bt-conferencing-division-took-servers-offline-after-black-basta-ransomware-attack/
勒索软件导致制造业停工损失 170 亿美元
https://www.infosecurity-magazine.com/news/ransomware-manufacturing-dollar17b/
新的 DroidBot Android 恶意软件针对 77 个银行、加密应用程序
https://www.bleepingcomputer.com/news/security/new-droidbot-android-malware-targets-77-banking-crypto-apps/
漏洞事件
Vulnerability Incidents
Veeam 警告服务提供商控制台中存在严重漏洞
https://www.securityweek.com/veeam-warns-of-critical-vulnerability-in-service-provider-console/
思科警告十年前存在的 ASA WebVPN 漏洞可能被利用
https://thehackernews.com/2024/12/cisco-warns-of-exploitation-of-decade.html
Android 2024 年 12 月安全更新修复了 14 个漏洞
https://www.securityweek.com/androids-december-2024-security-update-patches-14-vulnerabilities/
日本警告称 IO-Data 零日路由器漏洞可能被用于攻击
https://www.bleepingcomputer.com/news/security/japan-warns-of-io-data-zero-day-router-flaws-exploited-in-attacks/
SailPoint IdentityIQ 严重漏洞导致文件遭受未经授权的访问
https://thehackernews.com/2024/12/critical-sailpoint-identityiq.html
CISA 警告 Zyxel 防火墙漏洞可能被利用进行攻击
https://www.securityweek.com/cisa-warns-of-zyxel-firewall-vulnerability-exploited-in-attacks/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):俄罗斯 APT Turla 组织被发现窃取巴基斯坦 APT 的数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论