深度揭秘！俄罗斯Sandworm组织BadPilot行动，全球网络遭长期渗透！

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在网络安全的暗战中，俄罗斯军方支持的顶级APT组织Seashell Blizzard（沙虫，Sandworm）再次露出獠牙！微软最新披露，其旗下分支正通过代号BadPilot的长期行动，在全球范围内实施“撒网式渗透”，利用八大漏洞入侵企业网络，为俄罗斯战略目标构建“永不消失的数字据点”。这场横跨欧亚、持续多年的攻击，究竟隐藏着怎样的野心？  

一、BadPilot行动：从漏洞利用到全球据点  

作为俄罗斯GRU第74455部队的“王牌”黑客团队，Seashell Blizzard的分支自2021年起展开BadPilot行动，核心目标是通过“机会主义攻击”在全球网络中建立跳板，为后续定向攻击铺路：  

攻击范围：覆盖150余个国家和地区，从小型办公室（SOHO）到跨国企业，甚至包括与俄罗斯战略利益无直接关联的组织；  

技术手段：  

  利用至少8个已知漏洞（如Exchange Server的CVE-2021-34473、Fortinet FortiClient的CVE-2023-48788），扫描互联网暴露资产；  

  部署ShadowLink暗网隧道技术，将被攻陷设备注册为Tor隐藏服务，通过.onion地址实现隐蔽通信，传统防火墙完全失效；  

  使用合法远程管理工具（RMM）如Atera、Splashtop，借“合规程序”掩盖恶意行为，甚至修改Outlook登录页面窃取实时凭证。  

微软指出，该分支采用“广撒网+重点捕捞”策略：先通过漏洞大规模渗透，再对军工、能源、电信等战略目标展开深度间谍活动，兼具“情报收集”与“战略威慑”双重目的。  

二、技术武器库：漏洞、隧道与合法工具的三重欺诈  

BadPilot行动的技术复杂性，凸显Seashell Blizzard的“工业化攻击”能力：  

1. 漏洞利用矩阵  

| 漏洞名称              | 影响系统               | 攻击用途                     |  

|-----------------------|------------------------|------------------------------|  

| CVE-2021-34473        | Microsoft Exchange     | 植入Web Shell远程控制         |  

| CVE-2024-1709         | Connectwise ScreenConnect | 部署RMM工具实现持久化        |  

| 未知JBoss漏洞         | JBoss企业应用平台      | 零日漏洞攻击，规避补丁防御     |  

| CVE-2023-42793        | JetBrains TeamCity     | 渗透软件开发环境，窃取代码资产 |  

2. 隐蔽通信体系  

Tor暗网隧道：每个被攻陷设备生成唯一.onion地址，攻击者通过Tor网络直接访问，流量与普通用户混淆，安全设备无法识别；  

Chisel隧道工具：在目标网络内搭建加密通道，实现“跳板-跳板”的多层级渗透，溯源难度指数级增加。  

3. 合法工具滥用  

RMM工具劫持：篡改Atera、Splashtop的更新机制，植入后门程序，以“系统升级”名义静默安装；  

OWA页面篡改：在Outlook登录界面插入恶意JavaScript，实时捕获用户账号密码，用于横向移动（如入侵财务、高管账户）。  

三、地缘战略意图：为“网络战争”预埋支点  

BadPilot行动的全球布局，与俄罗斯的地缘政治目标高度契合：  

1. 情报储备：  

   即便非战略目标，也通过长期驻留收集数据（如供应链信息、通信模式），为未来冲突提供“情报弹药”；  

   2022年俄乌冲突期间，该组织曾利用中亚跳板监控西方对乌援助运输路线。  

2. 技术试验：  

   在不同国家网络环境中测试新型工具（如ShadowLink），优化攻击效率。例如，中东某电信企业被渗透后，成为其测试“DNS劫持+Tor通信”组合的试验场；  

3. 威慑效应：  

   通过“无差别攻击”制造全球网络恐慌，削弱西方对关键基础设施的信任，间接配合俄罗斯的舆论战。  

四、防御困境与破局之道  

面对Sandworm的“工业化渗透”，传统防御体系面临三大挑战：  

漏洞管理滞后：中小企业平均补丁修复周期长达45天，而BadPilot利用的均为公开漏洞；  

合法工具信任危机：RMM工具的“白名单”属性使其成为最佳伪装，EDR难以识别“正常程序+恶意行为”；  

暗网通信隐匿性：Tor网络的加密特性使流量监控失效，攻击可能潜伏数年未被发现。  

微软建议的防御策略：  

1. 主动暴露面收敛：  

   关闭非必要的互联网暴露端口，对Exchange、JBoss等系统实施“零信任”访问（如仅允许内部IP访问）；  

   使用攻击面管理工具（ASM）实时扫描资产，识别未打补丁的漏洞。  

2. RMM工具最小化：  

   仅授权关键岗位使用RMM工具，定期审查权限（如每季度删除闲置账户）；  

   对RMM的流量实施深度检测，阻断与Tor节点、可疑域名（如.onion）的连接。  

3. 行为基线分析：  

   建立“合法RMM工具”的正常行为模型（如更新频率、数据传输量），标记异常活动（如深夜大规模文件传输）；  

   对Outlook登录日志进行实时审计，检测同一账户在短时间内的异地多次登录。  

五、行业警示：当“全球互联”成为“全球威胁”  

BadPilot行动揭示了一个残酷现实：在全球化网络中，任何未加固的设备都可能成为大国博弈的“牺牲品”。从中小企业的路由器到跨国企业的邮件服务器，攻击的入口无处不在。  

对于企业而言，必须将网络安全从“合规成本”转变为“生存刚需”——不仅是为了防御黑客，更是为了在大国竞争的“数字战场”上守住商业主权。  

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：深度揭秘！俄罗斯Sandworm组织“BadPilot”行动，全球网络遭长期渗透！