俄罗斯秘密APT组织暴风雪利用Kazuar后门程序攻击乌克兰

与俄罗斯有关的APT组织Secret Blizzard（也称为Turla、Snake、Uroburos、Waterbug、Venomous Bear和KRYPTON）被发现使用Amadey恶意软件在乌克兰设备上部署KazuarV2后门程序。微软还评估称，2024年1月，Secret Blizzard利用俄罗斯威胁行为者Storm-1837的后门程序，在乌克兰的目标设备上下载了Tavdig和KazuarV2后门程序。

专家在2024年3月至4月期间观察到威胁行为者使用Amadey僵尸网络恶意软件。微软指出，这种僵尸网络与网络犯罪活动有关，攻击者利用它渗透乌克兰军队使用的设备。Storm-1919经常通过Amadey僵尸网络部署XMRIG加密货币挖矿器，这些僵尸网络在2024年全球范围内使用。根据微软的说法，Secret Blizzard组织可能利用Amadey作为服务，或访问其C2面板，以传递包含编码Amadey有效负载和链接到其C2服务器的PowerShell下载器。

这次行动标志着自2022年以来，Secret Blizzard至少第二次利用网络犯罪活动在乌克兰获得立足点，以部署其后门程序。这种方法突显了该组织将网络犯罪与针对性网络间谍活动相结合的策略。

“微软还评估称，2024年1月，Secret Blizzard利用俄罗斯威胁行为者Storm-1837的后门程序，该行为者针对乌克兰军队的无人机飞行员，在乌克兰的目标设备上下载了Tavdig和KazuarV2后门程序。”微软发布的分析中写道。“劫持其他威胁行为者的访问权限突显了Secret Blizzard多样化攻击向量的方法，包括使用战略网络妥协（水坑攻击）和敌对中间人（AiTM）活动，这些活动可能通过俄罗斯法律强制的截获系统（如‘运营调查活动系统’SORM）实现。”

Secret Blizzard通常使用针对性钓鱼攻击获得初始访问，然后通过服务器端和边缘设备的妥协进行横向移动。Amadey僵尸网络编码系统数据与C2通信，URL为http://vitantgroup[.]com/xmlrpc.php，尝试下载两个插件cred64.dll和clip64.dll，可能用于窃取凭证和剪贴板数据。Secret Blizzard使用单独的C2 URL，表明它未完全控制Amadey僵尸网络的主要C2机制。

Secret Blizzard选择性地部署了一个定制的调查

原文始发于微信公众号（黑猫安全）：俄罗斯秘密APT组织“暴风雪”利用Kazuar后门程序攻击乌克兰