Microsoft Threat Intelligence 的一份新报告显示,俄罗斯政府支持的威胁行为者 Secret Blizzard(也被称为 Turla、Waterbug、Venomous Bear、Snake、Turla Team 和 Turla APT Group)正在针对乌克兰的持续网络间谍活动中采用越来越非常规的策略。据观察,该组织劫持了其他威胁行为者(包括网络犯罪分子)的工具和基础设施,以访问乌克兰军事目标。
这并不是 Secret Blizzard 第一次被发现从其他网络攻击者那里借用工具。正如微软之前的一篇博客中所述,该组织已经利用另一个国家攻击者的工具进行间谍活动。现在,他们已经将这种做法扩展到了犯罪黑社会。
报告指出:“ 2024 年 3 月至 4 月期间,微软威胁情报发现 Secret Blizzard 使用与网络犯罪活动相关的 Amadey 机器人恶意软件(微软将其追踪为 Storm-1919)将其后门下载到与乌克兰军方相关的特定目标设备上。”这至少是自 2022 年以来 Secret Blizzard 第二次利用网络犯罪活动在乌克兰境内建立立足点。
该报告重点介绍了 2024 年 1 月发生的一起特定事件,Secret Blizzard 利用 Storm-1837 的后门部署了其定制恶意软件,其中包括 Tavdig 和 KazuarV2 后门。Storm-1837 是一个俄罗斯威胁行为者,主要针对乌克兰无人机飞行员。微软解释说,这种“夺取其他威胁行为者的访问权限”的策略凸显了 Secret Blizzard 多样化攻击媒介的方法。
该报告详细说明了 Secret Blizzard 如何利用通常用于部署加密货币矿工的 Amadey 僵尸网络来传递自己的恶意负载。微软评估称,Secret Blizzard 要么将 Amadey 用作恶意软件即服务 (MaaS) 产品,要么“秘密访问 Amadey 命令和控制 (C2) 面板,在目标设备上下载 PowerShell 植入程序”。然后,该植入程序与 Secret Blizzard 自己的命令基础设施建立了通信。
在获得初始访问权限后,Secret Blizzard 部署了一个自定义侦察工具来调查受感染的设备。该工具收集了一系列系统信息,包括目录树、系统信息、活动会话,甚至来自 Microsoft Defender 日志的数据。这些信息随后被泄露到 Secret Blizzard 的 C2 基础设施中。如果某个设备被认为具有足够的吸引力,攻击者就会部署 Tavdig 后门,然后部署 KazuarV2 后门,通常会注入合法的浏览器进程中。
报告进一步解释了 Secret Blizzard 如何利用 Storm-1837 后门。“ 2024 年 1 月,微软观察到乌克兰的一个军事相关设备受到 Storm-1837 后门的攻击……当 Storm-1837 PowerShell 后门启动时,微软注意到一个 PowerShell 植入器部署到该设备上……包含之前提到的 Tavdig 后门有效载荷……以及赛门铁克二进制文件。”这让他们能够重复同样的侦察和后门部署过程。
微软仍在调查 Secret Blizzard 究竟是如何获得这些第三方工具和基础设施的控制权的。无论是通过购买还是秘密接管,报告都强调,“ Secret Blizzard 寻求由其他威胁行为者提供或窃取的立足点,凸显了该威胁行为者优先考虑访问乌克兰的军事设备。”
微软的结论是,虽然这种策略“具有一些好处,可能会吸引更多的威胁对手使用它,但它对强化网络的作用较小,在强化网络中,良好的端点和网络防御能够检测到多个威胁对手的活动,并进行补救。
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里