微软报告：俄罗斯Seashell Blizzard黑客已获得关键基础设施访问权限

据微软报告，俄罗斯威胁组织 Seashell Blizzard 已指派其一个分支获取面向互联网的基础设施的初始访问权，并在目标组织中建立长期驻留。

Seashell Blizzard 也被称为 APT44、BlackEnergy Lite、Sandworm、Telebots 和 Voodoo Bear，自 2009 年以来一直活跃，据信与俄罗斯总参谋部情报总局 (GRU) 军事单位 74455 有联系。

该威胁组织以从事间谍活动、信息行动和网络破坏而闻名，例如破坏性的KillDisk (2015) 、 MeDoc (2017)、NotPetya (2017)、FoxBlade (2022) 和Prestige (2022) 攻击。

Seashell Blizzard 针对关键基础设施发起攻击，包括能源、水利、政府、制造、军事、电信和运输领域的 ICS 和 SCADA 系统，并已在军事行动中得到利用，尤其是在乌克兰。

微软在周三的一份报告中指出：“自 2023 年 4 月以来，Seashell Blizzard 已加大了对该地区军事社区的攻击力度，可能是为了获取战术情报。他们持续瞄准乌克兰，这表明 Seashell Blizzard 的任务是获取并保留对高优先级目标的访问权，为俄罗斯利益提供一系列未来行动选项。”

在过去四年中，Seashell Blizzard 内部的一个小组一直致力于一项广泛的初始访问行动，称为“BadPilot 活动”，目的是在高价值目标中建立持久性，以支持定制的网络操作。

微软解释说：“Seashell Blizzard 内部的这个小组至少从 2021 年就开始活跃，他们利用机会主义访问技术和隐秘的持久性形式来收集凭据、实现命令执行并支持横向移动，有时会导致严重的区域网络入侵。”

微软表示，该子组织的活动使 Seashell Blizzard 能够接触多个领域的全球目标（包括国际政府），从而横向扩大业务规模。

初始访问子群目标的地理分布

去年，该小组将其目标名单扩大到美国和英国的组织，主要通过利用 ConnectWise ScreenConnect（CVE-2024-1709）和 Fortinet FortiClient EMS（CVE-2023-48788）中的漏洞进行攻击。

据观察，该子组织使用独特的漏洞、工具和基础设施，并依靠特定的后期方法保持持久性，并可能依靠机会主义的“喷洒和祈祷”方法来大规模危害组织。

Seashell Blizzard 初始访问子组运营生命周期

它依靠直接扫描和第三方 Web 服务来发现受到 ScreenConnect、FortiClient EMS、Exchange ( CVE-2021-34473 )、Zimbra ( CVE-2022-41352 )、OpenFire ( CVE-2023-32315 )、TeamCity ( CVE-2023-42793 )、Outlook ( CVE-2023-23397 ) 和 JBOSS (未知 CVE) 缺陷针对接入互联网的小型办公室/家庭办公室 (SOHO) 和企业网络。

使用 ScreenConnect 安装 Atera Agent

微软表示：“在几乎所有成功利用的案例中，Seashell Blizzard 都采取措施在受影响的系统上建立长期持久性。至少有三起案例表明，这种持久访问发生在 Seashell Blizzard 发起的选择性破坏性攻击之前，这凸显了该子组织可能会定期发起破坏性或破坏性攻击。”

据观察，初始访问子组使用 Web Shell 来保持持久性，但在 2024 年初，它开始部署远程管理和监控 (RMM) 解决方案以实现持久性，并部署能够进一步攻击的辅助工具。

微软还发现该小组对 OWA 登录页面和 DNS 配置等网络资源进行恶意修改，以被动收集网络凭据，并将恶意 JavaScript 代码注入合法登录门户以收集用户名和密码。

Seashell Blizzard 从 OWA 收集凭证

微软指出：“鉴于 Seashell Blizzard 是俄罗斯在乌克兰的网络先锋，微软威胁情报评估认为，这个访问小组将继续创新新的扩展技术，入侵乌克兰和全球网络，以支持俄罗斯的战争目标和不断变化的国家优先事项。”

微软报告原文：

https://www.microsoft.com/en-us/security/blog/2025/02/12/the-badpilot-campaign-seashell-blizzard-subgroup-conducts-multiyear-global-access-operation/

新闻链接：

https://www.securityweek.com/russian-seashell-blizzard-hackers-gain-maintain-access-to-high-value-targets-microsoft/