俄罗斯APTSeashell Blizzard幕后黑手：全球BadPilot行动全解析

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近日，微软发布了一份引人注目的报告，揭示了一个隶属于俄罗斯APT组织“Seashell Blizzard”（又称Sandworm、BlackEnergy、TeleBots）的子群体，正策划一项名为“BadPilot”的全球多年度初始入侵行动。该行动通过持续渗透目标网络，为俄罗斯网络行动提供长期、隐秘的访问权限，其作战手法和规模令人震惊。

全球渗透，攻防并举

自2021年以来，这个子群体利用扫描工具和不断进化的攻击技术，对小型办公室/家庭网络和企业级网络的外围系统进行大规模漏洞利用。微软报告显示，该团队曾成功利用至少八个已知漏洞，如：

Microsoft Exchange漏洞（CVE-2021-34473）

Zimbra Collaboration漏洞（CVE-2022-41352）

OpenFire漏洞（CVE-2023-32315）

JetBrains TeamCity漏洞（CVE-2023-42793）

Microsoft Outlook漏洞（CVE-2023-23397）

Connectwise ScreenConnect漏洞（CVE-2024-1709）

Fortinet FortiClient EMS漏洞（CVE-2023-48788）

通过这些漏洞，攻击者不仅能迅速获得初步入侵权限，还能部署远程监控管理工具（如Atera和Splashtop），确保在目标网络中长期保持控制。

隐匿身份，层层防护

为了躲避传统安全检测，该团队还采用了多种高明手段：

ShadowLink技术：利用Tor网络将被入侵系统配置为隐藏服务，悄无声息地保持持久连接。

定制Web Shell “LocalOlive”：支持文件上传、命令执行和C2通信，为后续渗透提供强有力的技术支撑。

隧道工具 Chisel与rsockstun：帮助攻击者在目标网络中进行横向移动和深度渗透。

此外，该团队甚至修改Outlook Web Access（OWA）登录页面和DNS配置，植入恶意JavaScript，实时窃取用户凭证，大大增强了横向渗透能力。

战略目标与作战模式

“BadPilot”行动不仅局限于东欧，其攻击范围已扩展至全球，涵盖中亚、欧洲及其他地区。报告指出，虽然这些攻击看似采取了“喷射式”的广泛入侵策略，但一旦目标为战略重要对象，攻击者便会展开深度后续行动，窃取关键信息和敏感数据，为俄罗斯的网络作战提供支持。

正如微软威胁情报专家所言：“该子群体利用机会主义‘喷射与祈祷’的方式实现大规模入侵，并在战略目标被成功攻陷后，展开更为激烈的后续活动。”

结语：警惕全球网络安全隐患

“BadPilot”行动再次提醒我们，面对国家级网络威胁，企业和政府机构必须提高警惕，建立多层次防护体系。只有通过不断更新漏洞管理、强化入侵检测与应急响应，才能在日益复杂的网络攻防中确保数据安全与系统稳定。

如果你关注全球网络安全动态，这场由俄罗斯APT“Seashell Blizzard”发动的“BadPilot”行动绝对值得深入了解。请转发本文，与更多朋友共同探讨如何应对不断演变的网络威胁！

祝大家情人节快乐，推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

免费知识星球，不定期提供网上资源，也作为与粉丝的沟通桥梁。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：俄罗斯APT“Seashell Blizzard”幕后黑手：全球“BadPilot”行动全解析