微软报告:俄罗斯Seashell Blizzard黑客已获得关键基础设施访问权限

admin 2025年2月13日16:11:50评论9 views字数 2001阅读6分40秒阅读模式

导 

据微软报告,俄罗斯威胁组织 Seashell Blizzard 已指派其一个分支获取面向互联网的基础设施的初始访问权,并在目标组织中建立长期驻留。

微软报告:俄罗斯Seashell Blizzard黑客已获得关键基础设施访问权限

Seashell Blizzard 也被称为 APT44、BlackEnergy Lite、Sandworm、Telebots 和 Voodoo Bear,自 2009 年以来一直活跃,据信与俄罗斯总参谋部情报总局 (GRU) 军事单位 74455 有联系。

该威胁组织以从事间谍活动、信息行动和网络破坏而闻名,例如破坏性的KillDisk (2015) 、 MeDoc (2017)、NotPetya (2017)、FoxBlade (2022) 和Prestige (2022) 攻击。

Seashell Blizzard 针对关键基础设施发起攻击,包括能源、水利、政府、制造、军事、电信和运输领域的 ICS 和 SCADA 系统,并已在军事行动中得到利用,尤其是在乌克兰。

微软在周三的一份报告中指出:“自 2023 年 4 月以来,Seashell Blizzard 已加大了对该地区军事社区的攻击力度,可能是为了获取战术情报。他们持续瞄准乌克兰,这表明 Seashell Blizzard 的任务是获取并保留对高优先级目标的访问权,为俄罗斯利益提供一系列未来行动选项。”

在过去四年中,Seashell Blizzard 内部的一个小组一直致力于一项广泛的初始访问行动,称为“BadPilot 活动”,目的是在高价值目标中建立持久性,以支持定制的网络操作。

微软解释说:“Seashell Blizzard 内部的这个小组至少从 2021 年就开始活跃,他们利用机会主义访问技术和隐秘的持久性形式来收集凭据、实现命令执行并支持横向移动,有时会导致严重的区域网络入侵。”

微软表示,该子组织的活动使 Seashell Blizzard 能够接触多个领域的全球目标(包括国际政府),从而横向扩大业务规模。

微软报告:俄罗斯Seashell Blizzard黑客已获得关键基础设施访问权限

初始访问子群目标的地理分布

去年,该小组将其目标名单扩大到美国和英国的组织,主要通过利用 ConnectWise ScreenConnect(CVE-2024-1709)和 Fortinet FortiClient EMS(CVE-2023-48788)中的漏洞进行攻击。

据观察,该子组织使用独特的漏洞、工具和基础设施,并依靠特定的后期方法保持持久性,并可能依靠机会主义的“喷洒和祈祷”方法来大规模危害组织。

微软报告:俄罗斯Seashell Blizzard黑客已获得关键基础设施访问权限

Seashell Blizzard 初始访问子组运营生命周期

它依靠直接扫描和第三方 Web 服务来发现受到 ScreenConnect、FortiClient EMS、Exchange ( CVE-2021-34473 )、Zimbra ( CVE-2022-41352 )、OpenFire ( CVE-2023-32315 )、TeamCity ( CVE-2023-42793 )、Outlook ( CVE-2023-23397 ) 和 JBOSS (未知 CVE) 缺陷针对接入互联网的小型办公室/家庭办公室 (SOHO) 和企业网络。

微软报告:俄罗斯Seashell Blizzard黑客已获得关键基础设施访问权限

使用 ScreenConnect 安装 Atera Agent

微软表示:“在几乎所有成功利用的案例中,Seashell Blizzard 都采取措施在受影响的系统上建立长期持久性。至少有三起案例表明,这种持久访问发生在 Seashell Blizzard 发起的选择性破坏性攻击之前,这凸显了该子组织可能会定期发起破坏性或破坏性攻击。”

据观察,初始访问子组使用 Web Shell 来保持持久性,但在 2024 年初,它开始部署远程管理和监控 (RMM) 解决方案以实现持久性,并部署能够进一步攻击的辅助工具。

微软还发现该小组对 OWA 登录页面和 DNS 配置等网络资源进行恶意修改,以被动收集网络凭据,并将恶意 JavaScript 代码注入合法登录门户以收集用户名和密码。

微软报告:俄罗斯Seashell Blizzard黑客已获得关键基础设施访问权限

Seashell Blizzard 从 OWA 收集凭证

微软指出:“鉴于 Seashell Blizzard 是俄罗斯在乌克兰的网络先锋,微软威胁情报评估认为,这个访问小组将继续创新新的扩展技术,入侵乌克兰和全球网络,以支持俄罗斯的战争目标和不断变化的国家优先事项。”

微软报告原文:

https://www.microsoft.com/en-us/security/blog/2025/02/12/the-badpilot-campaign-seashell-blizzard-subgroup-conducts-multiyear-global-access-operation/

新闻链接:

https://www.securityweek.com/russian-seashell-blizzard-hackers-gain-maintain-access-to-high-value-targets-microsoft/

微软报告:俄罗斯Seashell Blizzard黑客已获得关键基础设施访问权限

原文始发于微信公众号(军哥网络安全读报):微软报告:俄罗斯“Seashell Blizzard”黑客已获得关键基础设施访问权限

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月13日16:11:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   微软报告:俄罗斯Seashell Blizzard黑客已获得关键基础设施访问权限https://cn-sec.com/archives/3735567.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息