Lumen 黑莲花实验室揭露:秘密暴风雪(Secret Blizzard)网络间谍活动报告
Lumen 的黑莲花实验室(Black Lotus Labs)发现了一个由俄罗斯网络威胁组织"秘密暴风雪"(Secret Blizzard,也被称为Turla)发起的长期网络渗透行动。该组织已成功入侵了33个由巴基斯坦网络组织"Storm-0156"使用的指挥控制(C2)节点。以网络间谍活动闻名的 Storm-0156 与两个活动集群"SideCopy"和"透明部落"(Transparent Tribe)有关。这一最新的行动跨越了过去两年,是自 2019 年首次被发现重新利用伊朗网络组织的 C2以来的第四次记录在案的类似行动。
引言
黑莲花实验室一直密切关注各种国家级网络行为者,包括此前报告的一个秘密暴风雪针对乌克兰网站的战略性入侵活动。这个组织最显著的特征是其在利用其他网络威胁组织的 C2 服务器方面表现出的大胆策略。这种方法使秘密暴风雪能够远程获取之前从被入侵网络中窃取的敏感文件,而无需使用(并可能暴露)自身工具;关键是,这类行动可以避免或延迟溯源。
在某些情况下,如果原始网络组织尚未收集目标的所有感兴趣的数据,秘密暴风雪可以搜索 C2 节点上收集的数据,寻找被盗的身份验证材料以获取访问权限,或利用现有访问权限扩大数据收集范围并将其代理部署到网络中。通过这种方式,秘密暴风雪实际上是在利用原始网络威胁组织已建立的立足点。
技术细节
Storm-0156 的作案手法与未公开的技术细节
黑莲花实验室此前跟踪过与 Storm-0156 相关的活动集群,这是一个位于巴基斯坦的国家级网络行为者。该威胁组织过去几年使用了多样化的工具,包括开源工具如 AllaKore 和自定义远程访问木马。尽管 Storm-0156 已展示了在不同操作系统上调整工具的能力,包括最近为 Linux 系统集成 Python 工具,但其基本的战术、技术和程序(TTPs)保持相对稳定。
秘密暴风雪获取 Storm-0156 的 C2 服务器访问权限
通过监控 Storm-0156 的活动,我们发现了 11 个从 2022 年 12 月到 2023 年中旬活跃的 C2 节点。其中 8 个节点对应已知的恶意软件样本或公开报告。进一步分析揭示,这 11 个节点都与三个新发现的虚拟专用服务器(VPS)IP 地址通信。
秘密暴风雪将自身工具部署到阿富汗政府网络
在监控秘密暴风雪与 Storm-0156 C2 节点的交互过程中,我们发现了来自多个先前被 Storm-0156 入侵的阿富汗政府网络的信标活动。这使我们有很高的信心认为,秘密暴风雪利用对 Storm-0156 C2 的访问权限收集关键网络信息,并将其自身的恶意软件"Two-Dash"部署到了阿富汗政府网络中。
渗透巴基斯坦运营商网络
该活动最关键的观察是,不仅在阿富汗的 Storm-0156 C2 节点上,还在一个来自巴基斯坦的动态 IP 地址上检测到 Two-Dash 的信标活动。
研究人员怀疑,他们利用对 Storm-0156 C2 面板的访问,随后滥用信任关系横向移动到 Storm-0156 运营商的工作站。这一成就可能使他们能够访问 Storm-0156 先前入侵的其他中东政府实体网络。
结论
秘密暴风雪活动集群及其母组织俄罗斯联邦安全局(FSB)始终采用复杂的技术手段来实现其目标,同时保持行动的秘密性。与其他倾向于通过各种技术创造合理怀疑的俄罗斯团体不同,Turla 选择了一种独特的策略:入侵其他网络威胁组织的指挥控制服务器。这不仅帮助他们收集所需信息,还能在事件响应工作揭露网络入侵时将责任转嫁给其他团体。
黑莲花实验室强烈建议:
-
部署经过精心调整且定期更新签名的端点检测和响应(EDR)解决方案 -
监控网络中大规模数据传输 -
考虑实施全面的安全访问服务边缘(SASE)解决方案,以增强网络安全态势
IoCs
更多与此活动相关的入侵指标(IoCs),请访问我们的GitHub 页面
https://github.com/blacklotuslabs/IOCs/blob/main/Secret_Blizzard_IoCs.txt
原文始发于微信公众号(独眼情报):APT 组织之间的对抗:俄罗斯 APT Turla 窃取了巴基斯坦 APT 组织的数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论