HackerNews 编译,转载请注明出处:
据微软报告,与俄罗斯有关的威胁组织Seashell Blizzard已指派其一个分支获取面向互联网的基础设施的初始访问权,并在目标组织中建立长期驻留。
Seashell Blizzard也被称为 APT44、BlackEnergy Lite、Sandworm、Telebots 和 Voodoo Bear,自 2009 年以来一直活跃,据信与俄罗斯总参谋部情报总局 (GRU) 军事单位 74455 有联系。
该威胁组织以从事间谍活动、信息行动和网络破坏而闻名,例如破坏性的 KillDisk (2015)、MeDoc (2017)、NotPetya (2017)、FoxBlade (2022) 和 Prestige (2022) 攻击。
Seashell Blizzard针对关键基础设施发起攻击,包括能源、水利、政府、制造、军事、电信和运输领域的 ICS 和 SCADA 系统,并已在军事行动中得到利用,尤其是在乌克兰。
微软在周三的一份报告中指出:“自 2023 年 4 月以来,Seashell Blizzard已加大了对该地区军事社区的攻击力度,可能是为了获取战术情报。他们持续瞄准乌克兰,这表明Seashell Blizzard的任务是获取并保留对高优先级目标的访问权,为俄罗斯军事和政府提供一系列未来行动选项。”
在过去四年中,Seashell Blizzard内部的一个小组一直致力于一项广泛的初始访问行动,称为“BadPilot 活动”,目的是在高价值目标中建立持久性,以支持定制的网络操作。
微软解释说:“Seashell Blizzard内部的这个小组至少从 2021 年就开始活跃,他们利用机会主义访问技术和隐秘的持久性形式来收集凭据、实现命令执行并支持横向移动,有时会导致严重的区域网络入侵。”
微软表示,该子组织的活动使Seashell Blizzard能够接触多个领域的全球目标(包括国际政府),从而横向扩大业务规模。
去年,该小组扩大了其目标列表,包括美国和英国的组织,主要通过利用 ConnectWise ScreenConnect (CVE-2024-1709) 和 Fortinet FortiClient EMS (CVE-2023-48788) 的漏洞。
微软还发现该小组对 OWA 登录页面和 DNS 配置等网络资源进行恶意修改,以被动收集网络凭据,并将恶意 JavaScript 代码注入合法登录门户以收集用户名和密码。
微软指出:“鉴于Seashell Blizzard是俄罗斯在乌克兰的网络先锋,微软威胁情报评估认为,这个访问小组将继续创新新的扩展技术,入侵乌克兰和全球网络,以支持俄罗斯的战争目标和不断变化的国家优先事项。”
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
