微软报告指出,俄罗斯黑客组织 Seashell Blizzard计划针对能源、水利等领域的关键基础设施展开攻击。此外,其内部小组通过利用漏洞等手段扩大业务规模,对全球目标构成威胁。
据微软报告,与俄罗斯有关的黑客组织Seashell Blizzard已着手获取互联网基础设施初始访问权,并计划在目标组织中长期驻留。
Seashell Blizzard也被称为 APT44、BlackEnergy Lite、Sandworm、Telebots 和 Voodoo Bear,自 2009 年以来一直活跃,据信与俄罗斯总参谋部情报总局 (GRU) 军事单位 74455 有联系。
该威胁组织以从事间谍活动、信息行动和网络破坏而闻名,例如破坏性的 KillDisk (2015)、MeDoc (2017)、NotPetya (2017)、FoxBlade (2022) 和 Prestige (2022) 攻击。
Seashell Blizzard针对关键基础设施发起攻击,包括能源、水利、政府、制造、军事、电信和运输领域的 ICS 和 SCADA 系统,并已在军事行动中得到利用,尤其是在乌克兰。
微软在周三的一份报告中指出:“自 2023 年 4 月以来,Seashell Blizzard已加大了对该地区军事社区的攻击力度,可能是为了获取战术情报。他们持续瞄准乌克兰,这表明Seashell Blizzard的任务是获取并保留对高优先级目标的访问权,为俄罗斯军事和政府提供一系列未来行动选项。”
在过去四年中,Seashell Blizzard内部的一个小组一直致力于一项广泛的初始访问行动,称为“BadPilot 活动”,目的是在高价值目标中建立持久性,以支持定制的网络操作。
微软解释说:“Seashell Blizzard内部的这个小组至少从 2021 年就开始活跃,他们利用机会主义访问技术和隐秘的持久性形式来收集凭据、实现命令执行并支持横向移动,有时会导致严重的区域网络入侵。”
微软表示,该子组织的活动使Seashell Blizzard能够接触多个领域的全球目标(包括国际政府),从而横向扩大业务规模。
去年,该小组扩大了其目标列表,包括美国和英国的组织,主要通过利用 ConnectWise ScreenConnect (CVE-2024-1709) 和 Fortinet FortiClient EMS (CVE-2023-48788) 的漏洞。
微软还发现该小组对 OWA 登录页面和 DNS 配置等网络资源进行恶意修改,以被动收集网络凭据,并将恶意 JavaScript 代码注入合法登录门户以收集用户名和密码。
微软指出:“鉴于Seashell Blizzard是俄罗斯在乌克兰的网络先锋,微软威胁情报评估认为,这个访问小组将继续创新新的扩展技术,入侵乌克兰和全球网络,以支持俄罗斯的战争目标和不断变化的国家优先事项。”
转载请注明出处@安全威胁纵横,封面由ChatGPT生成;
本文来源:https://www.securityweek.com/russian-seashell-blizzard-hackers-gain-maintain-access-to-high-value-targets-microsoft/
更多网络安全视频,请关注视频号“知道创宇404实验室”
原文始发于微信公众号(安全威胁纵横):微软披露黑客组织Seashell Blizzard新动向,目标关键基础设施
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论