多许可证折扣报价
计算机安全 微软警告称,俄罗斯 Seashell Blizzard 黑客入侵关键基础设施目标

微软警告称,俄罗斯 Seashell Blizzard 黑客入侵关键基础设施目标

通过Mura计算机安全
翻译为:
汉语

一个与俄罗斯有关的危险黑客组织Seashell Blizzard加强了对全球关键基础设施的攻击,引发了人们对长期网络间谍活动和破坏性行动的担忧。根据微软最近的警告,该组织不仅渗透了高价值系统,而且还深入渗透,以保持对受感染网络的长期控制。

Seashell Blizzard 是臭名昭著的俄罗斯威胁行为者

Seashell Blizzard 又名 APT44、BlackEnergy Lite、Sandworm、Telebots 和 Voodoo Bear,自 2009 年以来一直是重大网络威胁。人们普遍认为该组织隶属于俄罗斯军事情报机构 GRU(具体来说是 Unit 74455)。Seashell Blizzard 因其破坏性攻击而臭名昭著,包括 2017 年导致全球企业瘫痪的臭名昭著的 NotPetya 勒索软件和 2015 年针对乌克兰关键系统的KillDisk 恶意软件

多年来,Seashell Blizzard 一直以以下关键基础设施领域为目标:

  • 活力
  • 供水
  • 政府机构
  • 军事网络
  • 电信
  • 运输
  • 制造业

这些袭击并非随机的——它们与俄罗斯的军事目标密切相关,特别是在乌克兰,网络战一直是俄罗斯更广泛冲突战略的关键组成部分。

专注于持久访问的新小组

微软的最新报告强调,Seashell Blizzard 内部出现了一个小组,该小组至少在四年内一直在暗中活动。该小组致力于一项关键任务:获得对易受攻击系统的初始访问权限并建立长期持久性。这使黑客能够控制受感染的系统数月甚至数年,随时准备发动破坏性攻击。

这项被称为BadPilot 的活动自 2021 年以来一直在进行,重点是渗透高价值目标以促进更广泛的网络入侵。该小组的方法被描述为隐秘且极具机会性,依赖于广泛使用的软件和面向互联网的系统中存在的漏洞。

利用已知漏洞

攻击者正在利用流行系统中众所周知的安全漏洞,其中包括:

  • ConnectWise ScreenConnect(CVE-2024-1709)
  • Fortinet FortiClient EMS(CVE-2023-48788)
  • Microsoft Exchange(CVE-2021-34473)
  • Zimbra 协作套件 (CVE-2022-41352)
  • OpenFire 聊天服务器 (CVE-2023-32315)
  • TeamCity 构建服务器 (CVE-2023-42793)
  • Microsoft Outlook(CVE-2023-23397)
  • JBOSS 服务器(未指定 CVE)

黑客采用激进的“一触即发”策略,扫描互联网以查找易受攻击的系统并大规模攻击。一旦进入系统,他们就会使用 Web Shell 和远程监控和管理 (RMM) 软件等工具进行嵌入,确保对受感染系统进行长期控制。

用于维持控制的报警技术

一旦系统受到攻击,该小组就会部署多种持久性技术:

  • Web Shell 部署:为远程控制提供后门访问。
  • RMM 工具:允许谨慎访问和进一步部署恶意软件。
  • 凭证收集:修改 OWA 登录页面和 DNS 设置以窃取用户凭证。
  • JavaScript 注入:向登录门户添加恶意代码以收集用户名和密码。

    • 在一些案例中,这种持续的访问发生在破坏性攻击之前,表明黑客根据俄罗斯的军事和地缘政治需要,拥有双重目的能力——间谍活动和破坏活动。

    全球扩张:美国和英国成为焦点

    虽然乌克兰一直是 Seashell Blizzard 网络行动的主要目标,但微软的报告显示,该子组织在 2023 年扩大了其范围,目标是美国和英国的组织。这一扩张标志着一个危险的转变,表明俄罗斯的网络战策略正在扩大其范围,将西方国家也纳入其中。

    持续且不断升级的威胁

    微软警告称,该子组织并未放慢脚步。事实上,它很可能会继续发展并部署创新技术来渗透全球网络。随着俄罗斯在乌克兰的持续战争和地缘政治紧张局势的加剧,针对关键基础设施的网络攻击可能会升级为毁灭性的现实后果。

    保护您的组织免受贝壳暴风雪的侵袭

    关键领域的组织必须立即采取行动,防御这一持续威胁:

    • 修补已知漏洞:确保运行 ScreenConnect、Fortinet、Exchange、Zimbra、OpenFire 和其他目标软件的系统已完全更新。
    • 加强网络安全:部署多因素身份验证 (MFA)、限制对敏感系统的访问并监控异常活动。
    • 监控持久性:进行定期安全审核,以检测未经授权的 Web shell、RMM 工具或登录页面和 DNS 配置的修改。
    • 事件响应准备:制定全面的响应计划并确保备份安全且定期测试,为潜在的破坏性攻击做好准备。

    最后警告

    Seashell Blizzard 及其最初的访问子组织对全球关键基础设施构成了明显而现实的威胁。他们不懈地追求持续访问,可能成为大规模网络破坏的前兆,能够破坏电网、供水、交通系统和政府运作。微软的最新发现提醒我们:下一次重大网络攻击可能已经潜伏在关键系统内,等待着攻击的信号。


    正在加载...