俄罗斯黑客利用其他威胁行为者的基础设施攻击乌克兰军事人员

俄罗斯国家支持的黑客组织在持续入侵乌克兰的过程中，采取了不同寻常的手段来收集情报——他们利用其他威胁行为者的基础设施，感染乌克兰前线军事人员使用的电子设备。

黑客组织背景

该俄罗斯黑客组织被多个安全机构追踪，使用的代号包括Turla、Waterbug、Snake和Venomous Bear。微软将其称为“Secret Blizzard”。

攻击手段

2024年，Secret Blizzard至少两次利用其他威胁行为者的服务器和恶意软件，针对乌克兰前线军事力量发起攻击。具体来说：

1. 在一次攻击中，Secret Blizzard利用了名为Storm-1919的网络犯罪组织的基础设施。
2. 另一次攻击中，Secret Blizzard则利用了Storm-1837的资源，后者是一个以乌克兰无人机操作员为目标的俄罗斯威胁行为者。

攻击过程

Secret Blizzard通常通过鱼叉式网络钓鱼获取初始访问权限，然后通过服务器端和边缘设备的横向移动进行进一步渗透。微软指出，Secret Blizzard的这种手段虽然不常见，但并非独一无二。目前尚不清楚Secret Blizzard是如何获取这些基础设施的访问权限的。

攻击目标

微软威胁情报部门评估，Secret Blizzard的主要目标是获取乌克兰军事设备的信息。2024年3月至4月期间，Secret Blizzard使用了Storm-1919通常用于攻击的Amadey恶意软件，该软件通常用于在目标服务器上部署XMRIG加密货币应用程序，进行加密货币挖矿攻击。

具体攻击步骤

1. Secret Blizzard可能使用了Amadey恶意软件即服务（MaaS），或秘密访问了Amadey的命令与控制（C2）面板，以下载PowerShell加载器到目标设备。
2. PowerShell加载器包含一个Base64编码的Amadey有效载荷，并附加了调用Secret Blizzard C2基础设施请求的代码。
3. 最终目标是安装Tavdig后门，用于对目标进行侦察。Amadey样本收集了设备剪贴板信息，并从浏览器中提取密码。
4. 当Secret Blizzard评估目标具有高价值时，会安装Tavdig以收集用户信息、网络状态、已安装的补丁，并将注册表设置导入受感染的设备。

其他攻击案例

2024年1月，微软观察到Secret Blizzard使用Storm-1837的工具针对乌克兰军事人员发起攻击。攻击中，Storm-1837的后门使用Telegram API启动cmdlet，连接到文件共享平台Mega的账户，并可能下载命令或文件到目标设备。随后，PowerShell加载器被部署到设备上，包含Tavdig后门有效载荷和Symantec二进制文件。

结论

微软和Lumen的Black Lotus Labs此前报告称，Secret Blizzard还利用了巴基斯坦威胁组织Storm-0156的工具，在南亚目标上安装后门并收集情报。微软自2022年底开始观察到这一活动。过去七年中，Secret Blizzard至少利用了六个其他威胁组织的工具和基础设施。

微软总结指出，Secret Blizzard通过窃取或购买第三方访问权限，作为一种特定的、有意识的方法来建立具有间谍价值的立足点。然而，这种方法在面对强化网络时效果有限，良好的终端和网络防御可以检测并修复多个威胁行为者的活动。