俄罗斯秘密暴雪组织利用他国工具对乌克兰进行网络间谍活动

    俄罗斯国家支持的网络行动者“秘密暴雪”利用其他国家威胁行为者的工具和基础设施，对乌克兰目标进行了一系列复杂的网络间谍活动。我们观察到，这些活动通常以下载“秘密暴雪”定制的恶意软件告终，其中Tavdig后门为安装他们的KazuarV2后门提供了立足点。在2024年3月至4月期间，我们注意到“秘密暴雪”使用了与网络犯罪活动相关的Amadey僵尸网络恶意软件，我们将其追踪为Storm-1919，以下载其后门到与乌克兰军事特别选定的目标设备。这是自2022年以来“秘密暴雪”至少第二次使用网络犯罪活动作为在乌克兰立足的跳板。我们还评估，在2024年1月，“秘密暴雪”使用了针对乌克兰军事无人机飞行员的Storm-1837威胁行为者的后门，下载了Tavdig和KazuarV2后门到乌克兰的目标设备上。

    “秘密暴雪”通过多样化的攻击向量进行操作，包括使用战略性网站妥协（水坑攻击）和可能通过俄罗斯合法强制拦截系统如“作战调查活动系统”（SORM）促成的敌手中间人（AiTM）活动。“秘密暴雪”通常使用鱼叉式网络钓鱼作为其初始攻击向量，然后通过服务器端和边缘设备妥协来促进在感兴趣网络内的进一步横向移动。

    我们已知“秘密暴雪”针对广泛的行业，但最突出的是针对全球的外交部门、大使馆、政府办公室、国防部和国防相关公司。“秘密暴雪”专注于长期获取系统访问权限以收集情报，通常寻求先进的研究和政治重要的信息，使用多种后门等广泛资源。美国网络安全和基础设施安全局（CISA）将“秘密暴雪”归因于俄罗斯联邦安全局（FSB）的第16中心。“秘密暴雪”与其他安全供应商追踪的威胁行为者重叠，如Turla、Waterbug、Venomous Bear、Snake、Turla Team和Turla APT Group。

    我们跟踪“秘密暴雪”的活动，并在可能的情况下直接通知被目标或被妥协的客户，提供帮助他们保护其环境所需的信息。作为我们对威胁景观的持续监控、分析和报告的一部分，我们分享了对“秘密暴雪”活动的研究，以提高对这个威胁行为者手段的认识，并教育组织如何加强其攻击面以抵御此类活动。此外，我们强调，尽管“秘密暴雪”使用其他威胁行为者的基础设施和访问权限是不寻常的，但并非独一无二，因此被一个威胁行为者妥协的组织也可能通过初始入侵被另一个威胁行为者妥协。

原文链接:

http://rpfiles.threatexpert.cn:8100/Turla/reports/2024-12-11-Secret%20Blizzard%20%E5%88%A9%E7%94%A8%20Amadey%20%E6%81%B6%E6%84%8F%E8%BD%AF%E4%BB%B6%E5%8D%B3%E6%9C%8D%E5%8A%A1%E5%9C%A8%E4%B9%8C%E5%85%8B%E5%85%B0%E9%83%A8%E7%BD%B2%20Kazuar%20%E5%90%8E%E9%97%A8.pdf

原文始发于微信公众号（狼蛛安全实验室）：俄罗斯秘密暴雪组织利用他国工具对乌克兰进行网络间谍活动