ADVERTISEMENT
俄羅斯國家級駭客在烏克蘭持續進行的入侵戰爭中,採取了一種不尋常的情報收集途徑——盜用其他駭客組織的基礎設施,並利用它來感染其敵方軍事人員在前線使用的電子裝置。
根據微軟週三的報告,今年至少有兩次,俄羅斯駭客團隊(被追蹤名稱包括Turla、Waterbug、Snake和Venomous Bear)使用其他威脅團隊的伺服器與惡意軟體來攻擊烏克蘭前線軍事力量。
微軟將這個駭客團隊稱為「秘密暴雪」(Secret Blizzard)。在其中一次案例中,「秘密暴雪」使用了一個被追蹤為Storm-1919的網路犯罪團隊的基礎設施;在另一案例中,「秘密暴雪」利用了一個名為Storm-1837的俄羅斯威脅行為者的資源,此團隊過去曾針對烏克蘭的無人機操作員發動攻擊。
首要目標:烏克蘭軍事人員
「無論採取何種手段,微軟威脅情報部門評估,「秘密暴雪」 追求由其他駭客組織提供或竊取的立足點,突顯了該駭客組織將入侵烏克蘭軍事裝置列為優先事項,」週三的貼文指出。
從2024年3月至4月,「秘密暴雪」使用了Amadey,一種通常由Storm-1919用於加密挖掘活動的機器人軟體(bot),此類活動由犯罪團隊進行,目的是利用受害者的資源來挖掘數位貨幣。
微軟指出:「「秘密暴雪」可能以惡意軟體即服務(MaaS)的方式使用Amadey,或偷偷存取Amadey的指揮控制(C2)面板,進而在目標裝置上下載PowerShell dropper。」這個PowerShell dropper包含一個Base64編碼的Amadey有效載荷,並附加了用於請求「秘密暴雪」 C2基礎設施的程式碼。
最終目的是安裝Tavdig,一種由「秘密暴雪」用於目標偵察的後門。微軟發現,Amadey樣本會蒐集裝置剪貼簿中的資訊,並從瀏覽器中提取密碼。隨後,它會安裝一種客製化的的偵察工具,該工具僅在威脅行為者認為目標具有更高價值時選擇性部署,例如,與Starlink IP地址相關聯的裝置,這是烏克蘭前線軍事裝置的常見特徵。
當「秘密暴雪」認定目標具有高度價值時,會安裝Tavdig,蒐集包括「使用者訊息、網路連接狀態(netstat)、已安裝的修補程式」,並將機碼設置導入到受感染的裝置中。
使用其他團隊工具的案例
今年稍早,微軟觀察到「秘密暴雪」使用Storm-1887的工具,也針對烏克蘭軍事人員發動攻擊。微軟研究人員指出:
「2024年1月,微軟觀察到烏克蘭的一台軍事相關裝置被Storm-1837的後門感染,此後門使用Telegram API來啟動具有憑據的命令(cmdlet),該憑據作為參數供應,用於存取檔案共享平台Mega的一個帳戶。這段指令可能用於遠端連接Mega帳戶,並下載指令或檔案以在目標裝置上執行。」
當Storm-1837的PowerShell後門啟動時,微軟注意到該裝置上部署了一個PowerShell dropper,與觀察到的Amadey機器人攻擊鏈非常相似。該dropper包含兩個Base64編碼的文件,分別是Tavdig後門(rastls.dll)的有效載荷,以及Symantec的二進制文件(kavp.exe)。
與Amadey機器人攻擊鏈相同,「秘密暴雪」將Tavdig後門載入到kavp.exe中,以在裝置上進行初步偵察。之後,「秘密暴雪」使用Tavdig導入一個機碼檔案,該檔案被用於安裝並提供KazuarV2後門的持久性,而後KazuarV2被觀察到在受影響的裝置上啟動。
儘管微軟未直接觀察到Storm-1837的PowerShell後門下載Tavdig載入器,但根據Storm-1837後門執行與觀察到的PowerShell dropper活動的時間接近性,微軟評估,Storm-1837後門可能被「秘密暴雪」用於部署Tavdig載入器。
更廣泛的活動模式
微軟上週與Lumen的Black Lotus Labs報告稱,「秘密暴雪」曾利用巴基斯坦威脅團隊(Storm-0156)的工具,在南亞地區安裝後門並蒐集情報。此活動始於2022年底。截至目前,微軟表示,「秘密暴雪」在過去7年內已經使用至少6個其他威脅團隊的工具和基礎設施。
微軟報告總結道:「當本系列部落格的第一部分和第二部分結合起來時,可以看出「秘密暴雪」一直在利用第三方提供的立足點——無論是透過秘密竊取還是購買存取權限——作為建立具有間諜價值立足點的一種具體而刻意的方法。然而,微軟評估,儘管這種方法有某些優勢,可能會促使更多威脅對手使用,但對於防禦強化的網路來說,效用有限,因為良好的終端和網路防禦可以檢測多個威脅對手的活動並進行補救。」
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!