俄罗斯链接的APT Secret Blizzard被发现使用其他威胁actor的基础设施

admin 2024年12月6日15:31:53评论13 views字数 1559阅读5分11秒阅读模式
俄罗斯链接的APT Secret Blizzard被发现使用其他威胁actor的基础设施
微软威胁情报研究人员收集到证据,显示俄罗斯链接的APT组织Secret Blizzard(也称为Turla、Snake、Uroburos、Waterbug、Venomous Bear和KRYPTON)在过去7年中使用了至少6个其他威胁actor的工具和基础设施。

专家报告称,Secret Blizzard威胁actor正在利用巴基斯坦威胁actor Storm-0156的基础设施,在南亚地区对目标进行网络间谍活动。微软的研究揭示,Secret Blizzard正在利用Storm-0156的基础设施进行间谍活动,目标是南亚地区的兴趣点。

在与Black Lotus Labs的合作中,研究人员确认Secret Blizzard正在使用Storm-0156的基础设施来部署后门、剪贴板监视器和其他间谍工具。微软威胁情报的报告指出:“Secret Blizzard利用我们称之为Storm-0156的巴基斯坦威胁活动集群的基础设施——这与已知的威胁actor SideCopy、Transparent Tribe和APT36重叠——来安装后门并收集南亚地区目标的情报。”

自2022年11月以来,Secret Blizzard被观察到利用Storm-0156的基础设施,部署后门和工具到用于数据外泄的虚拟专用服务器。初始访问方法仍不明确。Storm-0156使用名为Arsenal的C2工具,基于QtFramework,用于文件传输和设备控制。该工具使用SQLite3数据库来跟踪上传、设备详情和网络事件。

Secret Blizzard最初使用TinyTurla后门的一个分支,但现在部署TwoDash .NET自定义下载器和自定义特洛伊木马Statuezy到Storm-0156的C2服务器。这使他们能够控制Storm-0156的后门,如CrimsonRAT和Wainscot,同时与他们自己的C2基础设施通信。Storm-0156和Secret Blizzard通过重命名的credwiz.exe进行DLL-sideloading,通过duser.dll加载MiniPocket后门或TwoDash .NET后门的负载。Secret Blizzard使用与Storm-0156相似的技术和文件名,模仿他们的操作。此外,他们还使用搜索顺序劫持技术,将TwoDash部署在c:windowssystem32oci.dll中,通过msdtc.exe进行sideloading,利用了之前渗透测试研究中记录的方法。

Secret Blizzard和Storm-0156的妥协链条显示,俄罗斯链接的威胁actor利用Storm-0156的C2基础设施针对阿富汗政府实体,包括外交部和情报机构。威胁actor能够将他们的工具下载到被妥协的设备上。在印度,他们的方法有所不同,主要集中在部署后门到C2服务器或访问印度军事和国防机构的外泄数据,对印度目标的直接部署有限。这种不同国家采用不同战术的做法可能与FSB内部动态或微软威胁情报观察到的漏洞有关。

俄罗斯链接的APT经常吸纳其他威胁actor的基础设施和工具,表明这是他们战术和技术的一部分。报告总结道:“利用这种资源有优缺点。利用他人的活动可以让Secret Blizzard在感兴趣的网络上建立立足点,所需努力相对较小。然而,因为这些初始立足点是建立在另一个威胁actor的目标上,通过这种技术获得的信息可能不完全符合Secret Blizzard的收集优先级。此外,如果建立初始立足点的威胁actor操作安全性差,这种技术可能会触发端点或网络安全警报,导致Secret Blizzard活动意外暴露。”

原文始发于微信公众号(黑猫安全):俄罗斯链接的APT Secret Blizzard被发现使用其他威胁actor的基础设施

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月6日15:31:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   俄罗斯链接的APT Secret Blizzard被发现使用其他威胁actor的基础设施https://cn-sec.com/archives/3475781.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息