俄罗斯APT组织针对西方物流与技术公司发动大规模网络攻击

近期，一场由俄罗斯情报机构发动的网络攻击活动引发了国际社会的广泛关注。根据美国国家安全局（NSA）、联邦调查局（FBI）、英国国家网络安全中心（NCSC-UK）、德国联邦情报局（BND）等多国网络安全机构联合发布的联合网络安全通告（CSA）。俄罗斯总参谋部情报总局（GRU）第85特种服务中心（85th GTsSS）第26165部队（有被称为APT28、Fancy Bear组织等）针对西方物流与技术公司展开了大规模的网络攻击活动，其攻击目标包括参与向乌克兰提供援助的物流实体和技术公司。

此次网络攻击的目标范围极为广泛，涵盖了北约成员国、乌克兰以及国际组织中的数十家实体，包括政府组织、私营企业以及涉及国防工业、交通运输枢纽（港口、机场等）、海事、空中交通管理、IT服务等多个关键领域的公司。攻击者通过复杂的攻击手段，试图获取有关运输计划、货物清单、运输路线等敏感信息，以干扰和破坏西方国家对乌克兰的援助行动。在攻击过程中，GRU第26165部队使用了多种已知的攻击手段和技术，形成了一个完整的攻击链条。

图1：攻击目标展示

初始访问阶段，钓鱼攻击是攻击者发动攻击的常用手段之一。他们精心炮制包含恶意链接或附件的钓鱼邮件，这些邮件伪装得极为逼真，链接往往指向仿冒政府或云服务提供商的虚假登录页面。一旦用户点击链接并输入账号密码等敏感信息，攻击者便能轻松获取。而邮件中的附件则可能携带诸如HEADLACE、MASEPIE等恶意软件，当用户打开附件，恶意软件便会在用户设备上悄然运行，为攻击者开启一扇入侵之门。为了提高钓鱼邮件的成功率，攻击者可谓煞费苦心。邮件主题涵盖专业事务、成人内容等，语言与目标国家一致，以增加邮件的可信度和吸引力。此外，他们常常通过被入侵账户或免费邮箱发送邮件，以此来规避部分安全检测机制。

攻击者通过Outlook NTLM漏洞（CVE-2023-23397）伪造日历邀请的方式，巧妙地窃取用户的NTLM哈希值和凭证。通过针对Roundcube邮件系统的漏洞（CVE-2020-12641 ）发起攻击，成功执行任意代码，从而获取受害者邮箱的权限。利用WinRAR漏洞（CVE-2023-38831）， 在压缩文件中植入恶意代码。当用户下载并解压这些看似普通的压缩文件时，恶意代码便会被激活，在用户设备上进行恶意操作，如创建后门、上传敏感信息等。

为了隐藏攻击者自身的真实IP地址，逃避安全防护设备的监测，攻击者使用了Tor和商业VPN等工具。通过这些工具，他们建立起加密的TLS连接，然后发起凭证猜测和暴力破解攻击。他们频繁地轮换IP地址，使得防御方难以追踪和封锁他们的攻击来源。这种攻击方式虽然需要消耗大量的时间和计算资源，但对于一些存在弱密码或密码策略不完善的目标系统，却具有较高的成功率。

攻击者一旦成功进入受害者的网络，便开始利用各种工具和技术进行内网渗透。他们常常使用Impacket、PsExec等工具，通过远程桌面协议（RDP）在内部网络中横向移动。他们的目标之一是访问域控制器，域控制器是管理网络中用户、计算机等资源的关键设备，一旦成功访问，攻击者就可以导出Active Directory数据库（NTDS.dit），从而获取大量的用户账号、密码哈希值以及网络拓扑结构等重要信息。

为了实现长期的访问和监控，攻击者采取了多种权限维持手段。在邮箱方面，他们修改Exchange邮箱权限，使得自己能够持续监控邮件通信。在系统层面，他们利用计划任务，在系统中设置定时执行的恶意任务，如定期上传收集到的敏感信息等；通过修改注册表启动项，使得恶意程序在系统每次启动时都能自动运行；通过创建恶意快捷方式，当用户点击这些快捷方式时，触发恶意程序的执行，以此保持对系统的访问权限。

攻击者在获取了足够的权限后，便开始进行数据窃取操作。他们通过PowerShell脚本将重要文件进行压缩打包，方便后续传输。同时，利用Exchange Web Services（EWS）、IMAP协议从邮件服务器中提取数据，这些数据可能包括邮件内容、附件、联系人信息等。此外，他们还通过OpenSSH等工具，将窃取到的敏感信息外发到指定的服务器上。为了确保数据传输的安全性，他们会对数据进行加密处理，使得防御方难以在传输过程中截获和破解数据。

攻击者在次网络攻击活动的同时，还针对乌克兰及边境国家的IP摄像头也发起了大规模攻击活动。他们的目标主要是那些采用RTSP协议的服务器，通过暴力破解默认凭证（如常见的“admin:1234”组合），试图获取摄像头的实时画面。从地理分布上看，约81%的攻击目标位于乌克兰境内，这些目标包括边境口岸、军事设施、火车站等关键地点的摄像头，因为这些地方能够直观地反映援助物资的运输情况。此外，约9.9%的攻击目标位于罗马尼亚，4%位于波兰，这些国家与乌克兰接壤，其边境地区的摄像头也可能捕捉到与援助物资运输相关的信息。通过入侵IP摄像头，攻击者能够实时监控援助物资的运输路径、运输工具以及物资的装卸情况等。这种物理层面的监控与网络层面的情报收集相互配合，使得他们能够构建一个更为全面、立体的情报体系。

参考链接：

https://www.ic3.gov/CSA/2025/250521.pdf

原文始发于微信公众号（白泽安全实验室）：俄罗斯APT组织针对西方物流与技术公司发动大规模网络攻击