导 读
据微软报告,俄罗斯威胁组织 Seashell Blizzard 已指派其一个分支获取面向互联网的基础设施的初始访问权,并在目标组织中建立长期驻留。
Seashell Blizzard 也被称为 APT44、BlackEnergy Lite、Sandworm、Telebots 和 Voodoo Bear,自 2009 年以来一直活跃,据信与俄罗斯总参谋部情报总局 (GRU) 军事单位 74455 有联系。
该威胁组织以从事间谍活动、信息行动和网络破坏而闻名,例如破坏性的KillDisk (2015) 、 MeDoc (2017)、NotPetya (2017)、FoxBlade (2022) 和Prestige (2022) 攻击。
Seashell Blizzard 针对关键基础设施发起攻击,包括能源、水利、政府、制造、军事、电信和运输领域的 ICS 和 SCADA 系统,并已在军事行动中得到利用,尤其是在乌克兰。
微软在周三的一份报告中指出:“自 2023 年 4 月以来,Seashell Blizzard 已加大了对该地区军事社区的攻击力度,可能是为了获取战术情报。他们持续瞄准乌克兰,这表明 Seashell Blizzard 的任务是获取并保留对高优先级目标的访问权,为俄罗斯利益提供一系列未来行动选项。”
在过去四年中,Seashell Blizzard 内部的一个小组一直致力于一项广泛的初始访问行动,称为“BadPilot 活动”,目的是在高价值目标中建立持久性,以支持定制的网络操作。
微软解释说:“Seashell Blizzard 内部的这个小组至少从 2021 年就开始活跃,他们利用机会主义访问技术和隐秘的持久性形式来收集凭据、实现命令执行并支持横向移动,有时会导致严重的区域网络入侵。”
微软表示,该子组织的活动使 Seashell Blizzard 能够接触多个领域的全球目标(包括国际政府),从而横向扩大业务规模。
初始访问子群目标的地理分布
去年,该小组将其目标名单扩大到美国和英国的组织,主要通过利用 ConnectWise ScreenConnect(CVE-2024-1709)和 Fortinet FortiClient EMS(CVE-2023-48788)中的漏洞进行攻击。
据观察,该子组织使用独特的漏洞、工具和基础设施,并依靠特定的后期方法保持持久性,并可能依靠机会主义的“喷洒和祈祷”方法来大规模危害组织。
Seashell Blizzard 初始访问子组运营生命周期
它依靠直接扫描和第三方 Web 服务来发现受到 ScreenConnect、FortiClient EMS、Exchange ( CVE-2021-34473 )、Zimbra ( CVE-2022-41352 )、OpenFire ( CVE-2023-32315 )、TeamCity ( CVE-2023-42793 )、Outlook ( CVE-2023-23397 ) 和 JBOSS (未知 CVE) 缺陷针对接入互联网的小型办公室/家庭办公室 (SOHO) 和企业网络。
使用 ScreenConnect 安装 Atera Agent
微软表示:“在几乎所有成功利用的案例中,Seashell Blizzard 都采取措施在受影响的系统上建立长期持久性。至少有三起案例表明,这种持久访问发生在 Seashell Blizzard 发起的选择性破坏性攻击之前,这凸显了该子组织可能会定期发起破坏性或破坏性攻击。”
据观察,初始访问子组使用 Web Shell 来保持持久性,但在 2024 年初,它开始部署远程管理和监控 (RMM) 解决方案以实现持久性,并部署能够进一步攻击的辅助工具。
微软还发现该小组对 OWA 登录页面和 DNS 配置等网络资源进行恶意修改,以被动收集网络凭据,并将恶意 JavaScript 代码注入合法登录门户以收集用户名和密码。
Seashell Blizzard 从 OWA 收集凭证
微软指出:“鉴于 Seashell Blizzard 是俄罗斯在乌克兰的网络先锋,微软威胁情报评估认为,这个访问小组将继续创新新的扩展技术,入侵乌克兰和全球网络,以支持俄罗斯的战争目标和不断变化的国家优先事项。”
微软报告原文:
https://www.microsoft.com/en-us/security/blog/2025/02/12/the-badpilot-campaign-seashell-blizzard-subgroup-conducts-multiyear-global-access-operation/
新闻链接:
https://www.securityweek.com/russian-seashell-blizzard-hackers-gain-maintain-access-to-high-value-targets-microsoft/
原文始发于微信公众号(军哥网络安全读报):微软报告:俄罗斯“Seashell Blizzard”黑客已获得关键基础设施访问权限
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论