惊！俄罗斯APT黑客竟借对手基础设施搞间谍活动

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在当今复杂的网络安全局势下，俄罗斯网络间谍组织“秘密暴雪”的一系列举动引起了广泛关注。据微软披露，过去七年里，“秘密暴雪”竟利用至少六个其他威胁行为者的工具和基础设施来开展活动。

“秘密暴雪”：网络间谍界的“老牌玩家”

“秘密暴雪”是一个历史颇为悠久的高级持续性威胁（APT）组织。早在2004年，它就已活跃在网络空间。美国网络安全与基础设施安全局（CISA）认为，该组织与俄罗斯联邦安全局（FSB）的第16中心存在关联。它还有诸多别名，诸如Turla、Iron Hunter、Venomous Bear、WhiteBear Waterbug以及Snake等。

其攻击目标范围极为广泛，外交部、大使馆、政府办公室、国防部以及国防相关企业等，都是它眼中的“猎物”，尤其是在全球范围内的这些关键部门和机构，更是深受其扰。在长期的网络间谍活动中，它形成了一套自己的“惯用战术”，像利用水坑攻击、中间人攻击，以及开展鱼叉式网络钓鱼活动，并且常常借助内部开发的工具和恶意软件，例如Uroburos，来达成其不可告人的目的。

借力打力：巧用其他组织资源

微软的研究人员发现，“秘密暴雪”有着极为独特的行事风格，它善于“搭便车”，借助其他威胁行为者的力量来为自己服务。在过去七年里，它盯上了至少六个不同组织的基础设施和工具，这些组织既有网络犯罪分子团体，也有其他网络间谍组织。而且，它还会主动寻找那些被其他威胁行为者作为数据窃取目标的基础设施，将这些已被窃取的数据据为己有，纳入自己的间谍活动范畴。

其实，“秘密暴雪”这种“借用”其他组织工具的行为，并非首次被发现。此前，就有多家安全厂商留意到一些孤立事件。比如在2017年，赛门铁克以及美国和英国情报机构发现，“秘密暴雪”曾访问过伊朗国家支持的威胁行为者“Hazel Sandstorm”（也被称为OilRig、APT34、Crambus）的工具和基础设施；2022年，谷歌云旗下的Mandiant发现，“秘密暴雪”重新利用了Andromeda恶意软件，以此来部署KopiLuwak和QuietCanary后门；卡巴斯基也发现，在2022年，“秘密暴雪”试图利用被微软威胁情报追踪为Storm - 0473（也叫Tomiris）的哈萨克斯坦威胁行为者的后门，来部署QuietCanary。只不过，微软最新的这份报告表明，“秘密暴雪”利用其他组织基础设施的程度，远比之前人们想象的要严重得多。

紧盯巴基斯坦APT组织：Storm - 0156成为目标

微软深入分析了“秘密暴雪”自2022年11月以来，对一个来自巴基斯坦的间谍组织Storm - 0156的攻击行为。“秘密暴雪”成功入侵了Storm - 0156的命令与控制（C2）基础设施。在这个过程中，它利用Storm - 0156的后门，将自己的后门程序部署到被入侵的设备上。同时，“秘密暴雪”还将自己的工具部署到存储Storm - 0156窃取数据的虚拟专用服务器（VPS）上。

“秘密暴雪”的手段十分多样。它会在Storm - 0156的C2服务器上部署自己的TinyTurla、TwoDash、Statuezy和MiniPocket等后门程序。而且，它还会夺取Storm - 0156的CrimsonRAT和Wainscot等后门程序，为己所用，以推进自己的间谍活动目标。不仅如此，“秘密暴雪”还采用了多种复杂的技术，比如DLL侧加载和搜索顺序劫持，在被入侵设备上执行恶意有效载荷。

微软指出，“秘密暴雪”的这种复杂的网络间谍活动，凸显出当前威胁行为者战术的日益复杂性。通过借助其他组织的基础设施，“秘密暴雪”能够以更加隐蔽、高效的方式开展活动，这给检测和阻止其活动带来了极大的挑战。对于各国的网络安全防护而言，面对如此复杂多变的网络攻击手段，需要不断加强技术手段和防御策略，提升对这类隐蔽攻击的监测和应对能力，以维护国家和组织的网络安全。 

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（sec0nd安全）：惊！俄罗斯APT黑客竟借对手基础设施搞间谍活动