俄罗斯链接的APT Secret Blizzard被发现使用其他威胁actor的基础设施

专家报告称，Secret Blizzard威胁actor正在利用巴基斯坦威胁actor Storm-0156的基础设施，在南亚地区对目标进行网络间谍活动。微软的研究揭示，Secret Blizzard正在利用Storm-0156的基础设施进行间谍活动，目标是南亚地区的兴趣点。

在与Black Lotus Labs的合作中，研究人员确认Secret Blizzard正在使用Storm-0156的基础设施来部署后门、剪贴板监视器和其他间谍工具。微软威胁情报的报告指出：“Secret Blizzard利用我们称之为Storm-0156的巴基斯坦威胁活动集群的基础设施——这与已知的威胁actor SideCopy、Transparent Tribe和APT36重叠——来安装后门并收集南亚地区目标的情报。”

自2022年11月以来，Secret Blizzard被观察到利用Storm-0156的基础设施，部署后门和工具到用于数据外泄的虚拟专用服务器。初始访问方法仍不明确。Storm-0156使用名为Arsenal的C2工具，基于QtFramework，用于文件传输和设备控制。该工具使用SQLite3数据库来跟踪上传、设备详情和网络事件。

Secret Blizzard最初使用TinyTurla后门的一个分支，但现在部署TwoDash .NET自定义下载器和自定义特洛伊木马Statuezy到Storm-0156的C2服务器。这使他们能够控制Storm-0156的后门，如CrimsonRAT和Wainscot，同时与他们自己的C2基础设施通信。Storm-0156和Secret Blizzard通过重命名的credwiz.exe进行DLL-sideloading，通过duser.dll加载MiniPocket后门或TwoDash .NET后门的负载。Secret Blizzard使用与Storm-0156相似的技术和文件名，模仿他们的操作。此外，他们还使用搜索顺序劫持技术，将TwoDash部署在c:windowssystem32oci.dll中，通过msdtc.exe进行sideloading，利用了之前渗透测试研究中记录的方法。

Secret Blizzard和Storm-0156的妥协链条显示，俄罗斯链接的威胁actor利用Storm-0156的C2基础设施针对阿富汗政府实体，包括外交部和情报机构。威胁actor能够将他们的工具下载到被妥协的设备上。在印度，他们的方法有所不同，主要集中在部署后门到C2服务器或访问印度军事和国防机构的外泄数据，对印度目标的直接部署有限。这种不同国家采用不同战术的做法可能与FSB内部动态或微软威胁情报观察到的漏洞有关。

俄罗斯链接的APT经常吸纳其他威胁actor的基础设施和工具，表明这是他们战术和技术的一部分。报告总结道：“利用这种资源有优缺点。利用他人的活动可以让Secret Blizzard在感兴趣的网络上建立立足点，所需努力相对较小。然而，因为这些初始立足点是建立在另一个威胁actor的目标上，通过这种技术获得的信息可能不完全符合Secret Blizzard的收集优先级。此外，如果建立初始立足点的威胁actor操作安全性差，这种技术可能会触发端点或网络安全警报，导致Secret Blizzard活动意外暴露。”

原文始发于微信公众号（黑猫安全）：俄罗斯链接的APT Secret Blizzard被发现使用其他威胁actor的基础设施