与俄罗斯有关的APT组织Seashell Blizzard是长期全球访问行动BadPilot活动的幕后黑手

admin
admin
admin
138938
文章
114
评论
2025年2月14日10:49:49评论22 views字数 1981阅读6分36秒阅读模式
与俄罗斯有关的APT组织Seashell Blizzard是长期全球访问行动BadPilot活动的幕后黑手

微软分享了与俄罗斯有关的APT组织“Seashell Blizzard”下属一个子组的研究发现,该子组是“BadPilot”全球活动的幕后黑手,其通过破坏基础设施来支持俄罗斯的网络行动。

“Seashell Blizzard”(又名Sandworm、BlackEnergy和TeleBots)自2000年以来一直活跃,其行动由俄罗斯GRU(总参谋部情报总局)第74455部队控制。该组织还创建了NotPetya勒索软件,该软件在2017年6月对全球数百家公司造成了严重破坏。2022年,该俄罗斯APT组织在针对乌克兰的攻击中使用了多种数据擦除器,包括AwfulShred、CaddyWiper、HermeticWiper、Industroyer2、IsaacWiper、WhisperGate、Prestige、RansomBoggs和ZeroWipe。

2022年9月,Sandworm组织被观察到冒充电信提供商,使用恶意软件针对乌克兰实体。微软目前发现该子组破坏了多个面向互联网的基础设施,使“Seashell Blizzard”APT组织能够在高价值目标的网络中保持持久性,并支持定制化的网络行动。这些威胁行为者针对全球范围内的组织,将“Seashell Blizzard”的行动范围扩大到东欧以外。

微软的报告指出:“该子组的历史攻击模式还导致全球范围内多个组织被入侵,这些组织似乎对俄罗斯的战略利益有限或无直接关联。这种模式表明,该子组可能采用了一种机会主义的‘广泛撒网’策略,以大规模入侵为目标,从而增加获取感兴趣目标访问权限的可能性,而无需进行大量定制化工作。在入侵具有战略意义的目标时,我们观察到入侵后会有大量后续活动。”

自2021年以来,“Seashell Blizzard”子组利用扫描工具针对易受攻击的基础设施,并不断改进其战术、技术和程序(TTPs),以实现持久性和横向移动。

微软发现,该子组利用了小型办公室/家庭办公室(SOHO)和企业网络外围的至少八个已知漏洞:

  • JBOSS(具体CVE未知)

  • Microsoft Exchange(CVE-2021-34473)

  • Zimbra Collaboration(CVE-2022-41352)

  •  OpenFire(CVE-2023-32315)

  • JetBrains TeamCity(CVE-2023-42793)

  •  Microsoft Outlook(CVE-2023-23397)

  •  Connectwise ScreenConnect(CVE-2024-1709)

  •  Fortinet FortiClient EMS(CVE-2023-48788)

2024年初,该子组利用ConnectWise ScreenConnect(CVE-2024-1709)和Fortinet FortiClient EMS(CVE-2023-48788)的漏洞,部署了Atera和Splashtop等远程管理工具(RMM),以保持持久性和命令控制(C2)。攻击者还使用了基于Tor的持久性方法ShadowLink,通过将受感染系统配置为隐藏服务来规避检测。这种方法允许攻击者进行隐蔽访问、窃取凭据和数据外泄,同时绕过传统的安全审计。

自2021年以来,“Seashell Blizzard”子组使用Web Shell实现持久性,曾利用Microsoft Exchange(CVE-2021-34473)和Zimbra(CVE-2022-41352)漏洞。其定制的Web Shell“LocalOlive”支持C2、文件上传和命令执行。2022年年中,该子组扩大了在中亚和欧洲的攻击,针对战略实体。他们部署了Chisel和rsockstun等隧道工具,以深入访问网络,并使用攻击者控制的基础设施来规避检测。

自2021年底以来,该子组通过修改Outlook Web Access(OWA)登录页面和DNS配置来针对网络。攻击者插入恶意JavaScript,实时捕获用户名和密码,从而增强网络内的横向移动能力。这种基础设施技术具有多功能性,支持全球范围内的行动。该组织的活动与俄罗斯的战略目标一致,为未来的行动提供了可扩展的访问方法,包括在乌克兰及其他地区。

报告总结道:“鉴于‘Seashell Blizzard’是俄罗斯在乌克兰网络行动的前沿力量,微软威胁情报评估认为,该访问子组将继续创新新的横向扩展技术,以入侵乌克兰及全球的网络,支持俄罗斯的战争目标和不断变化的国家优先事项。该子组在‘Seashell Blizzard’组织中以近乎全球范围的覆盖为特征,代表了‘Seashell Blizzard’在地理目标和行动范围上的扩展。”

原文始发于微信公众号(黑猫安全):与俄罗斯有关的APT组织“Seashell Blizzard”是长期全球访问行动“BadPilot”活动的幕后黑手

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月14日10:49:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   与俄罗斯有关的APT组织Seashell Blizzard是长期全球访问行动BadPilot活动的幕后黑手https://cn-sec.com/archives/3739698.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息