警惕！沙虫APT组织分支全球出击，瞄准关键行业

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在网络安全的暗潮涌动中，俄罗斯的“沙虫”（Sandworm）APT组织一直是令人瞩目的威胁力量。近期，微软的研究人员揭示了“沙虫”APT组织一个分支的活动轨迹，其针对全球多个国家关键行业组织展开攻击，企图获取初始及持久访问权限，这一行为引发了广泛关注。

“沙虫”组织简介：网络攻击的“老手”

“沙虫”（微软将其追踪为“贝壳暴雪”Seashell Blizzard），被研究人员认为与俄罗斯军事情报单位74455（GRU）相关。该组织曾策划多起极具破坏力的网络攻击，如KillDisk和NotPetya，给众多企业和国家带来了巨大损失。2020年，美国曾 unsealed一份针对六名被认为是“沙虫”成员的GRU官员的起诉书，足见其恶劣影响。

全球攻击路径：从乌克兰到世界多地

微软研究人员透露，2022年，这个分支主要将目标锁定在乌克兰，特别针对能源、零售、教育、咨询和农业等领域。到了2023年，其攻击范围迅速全球化，成功渗透进美国、欧洲、中亚和中东等地区众多行业的IT网络，并建立了持久访问权限。2024年，随着多个漏洞的曝光，该分支似乎进一步聚焦于美国、加拿大、澳大利亚和英国等国家。

攻击手法剖析：利用漏洞，步步为营

该分支主要借助公共扫描数据库，将攻击重点放在利用目标面向互联网基础设施的漏洞上。他们利用的漏洞包括：微软Exchange中的CVE-2021-34473、Zimbra Collaboration中的CVE-2022-41352、OpenFire中的CVE-2023-32315、JetBrains TeamCity中的CVE-2023-42793、微软Outlook中的CVE-2023-23397、Connectwise ScreenConnect中的CVE-2024-1709、Fortinet FortiClient EMS中的CVE-2023-48788，以及JBoss企业应用平台中的一个未知漏洞。在获取初始访问权限后，他们最初通过部署Web shell来维持持久访问。2024年初，又开始安装并利用合法的远程监控和管理（RMM）工具，如Atera Agent和Splashtop Remote Services，借助这些工具部署二级工具，用于窃取和外发凭证。此外，为了实现更持久的控制，他们还将受感染系统注册为Tor隐藏服务（微软将此技术称为ShadowLink）。被ShadowLink感染的系统会获得一个独特的.onion地址，通过Tor网络实现远程访问。这种方式避免了传统远程访问木马（RAT）利用C2基础设施进行控制而容易被网络管理员审计和识别的问题，受感染系统就像在网络中建立了一条隐蔽隧道，隐藏了所有入站连接，降低了攻击者和受害者双方被暴露的风险。不仅如此，该组织还对网络资源进行修改，比如修改Outlook Web Access（OWA）登录页面以收集凭证用于横向移动，以及修改DNS配置，可能用于拦截关键身份验证服务的凭证。

攻击意图：为战略目标铺路

微软研究人员指出，该分支可能采用了“广撒网”的攻击方式，甚至入侵了一些对俄罗斯战略利益效用有限或没有直接关联的组织。但一旦成功入侵具有战略意义的目标，后续就会展开大量的入侵后活动。实际的攻击目标涵盖能源、石油和天然气、电信、航运、武器制造等行业的组织，以及一些国际政府机构。这一分支在“贝壳暴雪”组织内以近乎全球的攻击范围为特点，不仅扩大了“贝壳暴雪”的地理攻击目标范围，也拓展了其操作范畴。其广泛且机会主义的访问方式，很可能为俄罗斯在中期内开展特定行动和活动提供更多机会。目前，微软已发布了相关的入侵指标、缓解和保护指南、检测和警报信息，以及针对可能的“贝壳暴雪”活动的威胁狩猎查询，以帮助各组织提升防范能力。面对“沙虫”APT组织分支如此猖獗的全球攻击行为，各国和各行业组织都应高度重视，加强网络安全防护，及时更新系统补丁，监控网络活动，共同抵御这一严重的网络威胁，守护自身的信息安全。 

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：警惕！“沙虫”APT组织分支全球出击，瞄准关键行业