大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
近日,微软发布了一份引人注目的报告,揭示了一个隶属于俄罗斯APT组织“Seashell Blizzard”(又称Sandworm、BlackEnergy、TeleBots)的子群体,正策划一项名为“BadPilot”的全球多年度初始入侵行动。该行动通过持续渗透目标网络,为俄罗斯网络行动提供长期、隐秘的访问权限,其作战手法和规模令人震惊。
全球渗透,攻防并举
自2021年以来,这个子群体利用扫描工具和不断进化的攻击技术,对小型办公室/家庭网络和企业级网络的外围系统进行大规模漏洞利用。微软报告显示,该团队曾成功利用至少八个已知漏洞,如:
Microsoft Exchange漏洞(CVE-2021-34473)
Zimbra Collaboration漏洞(CVE-2022-41352)
OpenFire漏洞(CVE-2023-32315)
JetBrains TeamCity漏洞(CVE-2023-42793)
Microsoft Outlook漏洞(CVE-2023-23397)
Connectwise ScreenConnect漏洞(CVE-2024-1709)
Fortinet FortiClient EMS漏洞(CVE-2023-48788)
通过这些漏洞,攻击者不仅能迅速获得初步入侵权限,还能部署远程监控管理工具(如Atera和Splashtop),确保在目标网络中长期保持控制。
隐匿身份,层层防护
为了躲避传统安全检测,该团队还采用了多种高明手段:
ShadowLink技术:利用Tor网络将被入侵系统配置为隐藏服务,悄无声息地保持持久连接。
定制Web Shell “LocalOlive”:支持文件上传、命令执行和C2通信,为后续渗透提供强有力的技术支撑。
隧道工具 Chisel与rsockstun:帮助攻击者在目标网络中进行横向移动和深度渗透。
此外,该团队甚至修改Outlook Web Access(OWA)登录页面和DNS配置,植入恶意JavaScript,实时窃取用户凭证,大大增强了横向渗透能力。
战略目标与作战模式
“BadPilot”行动不仅局限于东欧,其攻击范围已扩展至全球,涵盖中亚、欧洲及其他地区。报告指出,虽然这些攻击看似采取了“喷射式”的广泛入侵策略,但一旦目标为战略重要对象,攻击者便会展开深度后续行动,窃取关键信息和敏感数据,为俄罗斯的网络作战提供支持。
正如微软威胁情报专家所言:“该子群体利用机会主义‘喷射与祈祷’的方式实现大规模入侵,并在战略目标被成功攻陷后,展开更为激烈的后续活动。”
结语:警惕全球网络安全隐患
“BadPilot”行动再次提醒我们,面对国家级网络威胁,企业和政府机构必须提高警惕,建立多层次防护体系。只有通过不断更新漏洞管理、强化入侵检测与应急响应,才能在日益复杂的网络攻防中确保数据安全与系统稳定。
如果你关注全球网络安全动态,这场由俄罗斯APT“Seashell Blizzard”发动的“BadPilot”行动绝对值得深入了解。请转发本文,与更多朋友共同探讨如何应对不断演变的网络威胁!
祝大家情人节快乐,推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友入圈沟通交流。
免费知识星球,不定期提供网上资源,也作为与粉丝的沟通桥梁。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):俄罗斯APT“Seashell Blizzard”幕后黑手:全球“BadPilot”行动全解析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论