2022 年 2 月初，即俄罗斯入侵乌克兰前夕，Volexity 有一项发现，引发了其有史以来最引人入胜且最复杂的事件调查。调查始于客户站点（“组织 A”）部署的自定义检测签名发出的警报，表明威胁行为者已入侵客户网络上的一台服务器。Volexity 迅速展开调查，但由于一个极具动机和技能的高级持续威胁（APT）行为者使用了 Volexity 此前未遇到的新型攻击向量，引发的问题多于答案。调查结束时，Volexity 将此次违规行为与一个名为 GruesomeLarch（公开称为 APT28、Forest Blizzard、Sofacy、Fancy Bear 等）的俄罗斯威胁行为者联系起来。Volexity 进一步确定，GruesomeLarch 正针对组织 A 收集乌克兰相关专业人士和项目的数据。

此次长达一个半月的调查显示，GruesomeLarch 通过连接到组织 A 的企业 Wi-Fi 网络最终入侵了其网络。威胁行为者通过将攻击方法串联起来，入侵了与目标组织 A 紧邻的多个组织来实现这一目标，而他们远在数千英里之外的大洋彼岸。Volexity 称这种攻击方式为“最近邻攻击”。

最近邻攻击

鉴于假定的物理距离，人们可能会疑惑威胁行为者究竟是如何通过组织 A 的企业 Wi-Fi 网络进行身份验证的。首先需要有效的凭证，通过对组织 A 网络上面向公众的服务进行密码喷射攻击来验证凭证。虽然凭证可以验证，但由于实施了多因素身份验证（MFA），无法用于组织 A 的公共服务。然而，企业 Wi-Fi 网络不需要 MFA，只需用户的有效域用户名和密码即可进行身份验证。威胁行为者在世界另一端，无法实际连接到组织 A 的企业 Wi-Fi 网络，于是他们试图入侵与组织 A 办公室紧邻的其他组织，通过入侵另一个组织，然后在该组织内横向移动，找到可以访问的双宿主系统（即同时具有有线和无线网络连接），一旦成功找到通过有线以太网连接到网络的系统，威胁行为者就会访问该系统并使用其 Wi-Fi 适配器，连接到组织 A 的企业 Wi-Fi 并进行身份验证，从而获得对组织 A 网络的访问权限。

调查还发现 GruesomeLarch 成功入侵了紧邻组织 A 的多个组织，并在附近组织找到并入侵了双宿主系统，从而能够从该被入侵系统连接到组织 A 的企业 Wi-Fi 网络。Volexity 认为这代表了一种新的攻击类别，威胁行为者入侵一个组织后，通过 Wi-Fi 网络对物理上紧邻的其他组织进行凭证填充攻击。

幽灵一瞥

2022 年 2 月 4 日，Volexity 在客户组织 A 的网络上检测到可疑活动，是由自定义签名触发的，用于查找写入并从C:ProgramData目录根执行的文件。调查发现以下活动发生：写入并执行了名为C:ProgramDataservtask.bat的文件，servtask.bat文件调用了 Microsoft 命令行注册表实用程序和 PowerShell 来运行一系列命令，包括导出敏感注册表项并压缩为 ZIP 文件，这立即引起了 Volexity 威胁检测与响应团队的高度警惕，他们开始深入调查系统的 EDR 事件历史，并准备部署Volexity Surge Collect Pro收集系统内存（RAM）和关键磁盘工件。

对 EDR 日志的审查提供了一些有趣的洞察，发现系统在上述活动之前发生了以下情况：通过 RDP 使用非特权用户账户登录服务器，在该用户目录下出现名为DefragmentSrv.zip的文件并使用系统上的 WinRAR GUI 版本解压缩，还写入并执行了DefragmentSrv.exe和DefragmentSrv.bat文件，最终导致servtask.bat的写入和执行，同时还在C:ProgramDataAdobev3.80.15456的伪造目录中写入了wayzgoose52.dll文件。Volexity 试图收集这些文件，但遇到两个问题，一是在收集系统内存时系统关机，导致丢失可能对调查有用的易失性数据，二是攻击者删除了所有已识别的文件和文件夹，并使用Cipher.exe工具覆盖了痕迹。

调查死胡同

最初事件发生后，攻击者沉寂了一段时间，Volexity 利用收集的各种法医工件继续调查，但遇到一些挑战，如能识别连接到受害者服务器的 IP 地址，但不清楚其关联且该地址已下线，组织 A 办公室的网络安全传感器几乎没有关于攻击者的记录，一些通常能提供清晰线索和下一步行动的步骤都没有结果，调查一度陷入僵局，直到攻击者再次出现。

无线救赎

调查中，Volexity 了解到组织有一个无线控制器用于管理无线网络等，获取访问权限后有了重大突破，能够找到攻击者的 IP 地址并将其与认证域用户和 MAC 地址关联，还在旧日志中发现了相同 MAC 地址和不同用户名的认证事件，且得知相关账户密码已过期更新，攻击者在 2 月初通过无线控制器的账户重新进入。进一步调查发现攻击者通过对面向互联网的服务进行密码喷射攻击获取网络无线凭证连接到网络，但不清楚攻击者最初从何处物理连接到企业 Wi-Fi，对组织 A 无线控制器数据的分析显示攻击者连接的特定无线接入点位置，推测攻击者可能在街道对面进行攻击。

信任任何人，尤其是你的邻居

调查过程中，Volexity 与组织 A 合作采取了各种补救措施和实施对策，最终在调查中取得重大突破，发现攻击者仍有工作域凭证，再次通过企业 Wi-Fi 访问网络，通过分析网络流量和日志确定攻击者来自街对面的组织 B，进一步调查发现攻击者通过特权凭证从组织 B 网络内的另一系统连接到组织 B 内被入侵的双宿主系统，该系统可通过 Wi-Fi 适配器连接到组织 A 的企业 Wi-Fi，Volexity 还确定了组织 C 并与其联系，但组织 C 未提供进一步调查所需的关键数据。至此，Volexity 对攻击者的操作有了全面了解，并向组织 A 推荐了进一步的缓解和补救措施，切断了攻击者对组织 A 企业 Wi-Fi 的访问。

最后一击：访客 Wi-Fi

在最后一次观察到威胁行为者活动一个多月后，又有警报显示组织 A 网络存在可疑活动，发现同一威胁行为者通过多个内部系统代理返回网络，最终通过组织 A 的访客 Wi-Fi 网络进入，尽管访客 Wi-Fi 网络被认为与存储高价值目标数据的企业有线网络完全隔离，但有一个系统可从 Wi-Fi 网络和企业有线网络访问，攻击者利用未重置账户的凭证和 Wi-Fi 网络未完全隔离的漏洞，通过netsh工具设置端口转发进入目标系统，通过分析网络流量和日志确定攻击者此次来自组织 C，Volexity 再次与组织 C 联系并与组织 A 一起采取新的补救措施。自最后一次与访客 Wi-Fi 网络相关的活动以来，未再观察到与攻击者利用最近邻攻击相关的活动。

战术笔记

GruesomeLarch 在入侵期间主要采用“靠土地生活”的方法，利用标准的 Microsoft 协议进行横向移动。以下是一些观察结果，可用于潜在地检测 GruesomeLarch 或其他使用类似行为或技术的威胁行为者。

使用 Cipher.exe

攻击者使用内置的 Windows 工具Cipher.exe删除他们创建的文件，通过cmd.exe /c cipher /W:C命令覆盖删除特定文件夹中的数据，使法医分析师更难恢复攻击者工具。

通过 VSSAdmin 转储 Ntds.dit

另一个观察到的战术是通过创建卷影副本窃取活动目录数据库，包括创建卷影副本、复制ntds.dit文件和 SYSTEM 注册表项、压缩文件等步骤，Antivirus 和 EDR 产品可能会检测到这种行为，组织也可以创建自定义 EDR 签名进行检测。

暂存数据用于外泄

大部分数据被复制回连接到 Wi-Fi 的攻击者系统，也有在面向公众的 Web 服务器目录中暂存数据然后通过外部下载外泄的情况，组织可以通过监控 Web 服务器上的异常文件或大型文件传输来检测这种行为。

归因

最初，Volexity 无法将此次入侵归因于已知的威胁行为者，攻击者主要使用“靠土地生活”的技术，工具和 IP 地址难以确定罪魁祸首，但确定内部目标后，怀疑是俄罗斯威胁行为者，2024 年 4 月，微软发布关于“Forest Blizzard”（Volexity 追踪为 GruesomeLarch）的研究，详细描述了用于利用 CVE-2022-38028 漏洞获取凭证的后渗透工具 GooseEgg，其中的文件名称和路径与 Volexity 调查的事件中的完全相同，且微软报告表明该工具自 2020 年 6 月起使用，Volexity 确认 2022 年 2 月使用了该工具，基于此工具的使用，Volexity 有很高信心将此次活动归因于 GruesomeLarch。

结论

Volexity 的调查揭示了威胁行为者为实现其网络间谍目标愿意采取的各种手段，最近邻攻击实际上是一种近距离操作，避免了被物理识别或拘留的风险，组织需要更加重视 Wi-Fi 网络对其运营安全的风险，应像对待其他远程访问服务一样对待企业 Wi-Fi 网络的访问，此次攻击是由于目标 Wi-Fi 系统的安全控制水平低于其他资源，攻击者利用这种漏洞通过一系列步骤入侵网络，使用“靠土地生活”技术避免部署恶意软件和逃避检测，为防止或检测类似攻击，Volexity 提出了一系列建议，包括监控特定工具的使用、创建自定义检测规则、检测数据外泄等。

致谢

Volexity 感谢客户允许公开分享此次调查的信息。