俄罗斯国家级黑客在乌克兰持续进行的入侵战争中,采取了一种不寻常的情报收集途径——盗用其他黑客组织的基础设施,并利用它来感染其敌方军事人员在前线使用的电子设备。
根据微软周三的报告,今年至少有两次,俄罗斯黑客团队(被关注名称包括Turla、Waterbug、Snake和Venomous Bear)使用其他威胁团队的服务器与恶意软件来攻击乌克兰前线军事力量。
微软将这个黑客团队称为“秘密暴雪”(Secret Blizzard)。在其中一次案例中,“秘密暴雪”使用了一个被关注为Storm-1919的网络犯罪团队的基础设施;在另一案例中,“秘密暴雪”利用了一个名为Storm-1837的俄罗斯威胁行为者的资源,此团队过去曾针对乌克兰的无人机操作员发动攻击。
“无论采取何种手段,微软威胁情报部门评估,“秘密暴雪”追求由其他黑客组织提供或窃取的立足点,突显了该黑客组织将入侵乌克兰军事设备列为优先事项,”周三的贴文指出。
从2024年3月至4月,“秘密暴雪”使用了Amadey,一种通常由Storm-1919用于加密挖掘活动的机器人软件(bot),此类活动由犯罪团队进行,目的是利用受害者的资源来挖掘数字货币。
微软指出:““秘密暴雪”可能以恶意软件即服务(MaaS)的方式使用Amadey,或偷偷访问Amadey的指挥控制(C2)面板,进而在目标设备上下载PowerShell dropper。”这个PowerShell dropper包含一个Base64编码的Amadey有效载荷,并附加了用于请求“秘密暴雪”C2基础设施的程序代码。
最终目的是安装Tavdig,一种由“秘密暴雪”用于目标侦察的后门。微软发现,Amadey样本会搜集设备剪贴板中的资讯,并从浏览器中提取密码。随后,它会安装一种定制化的的侦察工具,该工具仅在威胁行为者认为目标具有更高价值时选择性部署,例如,与Starlink IP地址相关联的设备,这是乌克兰前线军事设备的常见特征。
当“秘密暴雪”认定目标具有高度价值时,会安装Tavdig,搜集包括“用户消息、网络连接状态(netstat)、已安装的修补程序”,并将机码设置导入到受感染的设备中。
今年稍早,微软观察到“秘密暴雪”使用Storm-1887的工具,也针对乌克兰军事人员发动攻击。微软研究人员指出:
“2024年1月,微软观察到乌克兰的一台军事相关设备被Storm-1837的后门感染,此后门使用Telegram API来启动具有凭据的命令(cmdlet),该凭据作为参数供应,用于访问文件共享平台Mega的一个账户。这段指令可能用于远程连接Mega账户,并下载指令或文件以在目标设备上执行。”
当Storm-1837的PowerShell后门启动时,微软注意到该设备上部署了一个PowerShell dropper,与观察到的Amadey机器人攻击链非常相似。该dropper包含两个Base64编码的文件,分别是Tavdig后门(rastls.dll)的有效载荷,以及Symantec的二进制文件(kavp.exe)。
与Amadey机器人攻击链相同,“秘密暴雪”将Tavdig后门加载到kavp.exe中,以在设备上进行初步侦察。之后,“秘密暴雪”使用Tavdig导入一个机码文件,该文件被用于安装并提供KazuarV2后门的持久性,而后KazuarV2被观察到在受影响的设备上启动。
尽管微软未直接观察到Storm-1837的PowerShell后门下载Tavdig加载器,但根据Storm-1837后门执行与观察到的PowerShell dropper活动的时间接近性,微软评估,Storm-1837后门可能被“秘密暴雪”用于部署Tavdig加载器。
微软上周与Lumen的Black Lotus Labs报告称,“秘密暴雪”曾利用巴基斯坦威胁团队(Storm-0156)的工具,在南亚地区安装后门并搜集情报。此活动始于2022年底。截至目前,微软表示,“秘密暴雪”在过去7年内已经使用至少6个其他威胁团队的工具和基础设施。
微软报告总结道:“当本系列博客的第一部分和第二部分结合起来时,可以看出“秘密暴雪”一直在利用第三方提供的立足点——无论是通过秘密窃取还是购买访问权限——作为创建具有间谍价值立足点的一种具体而刻意的方法。然而,微软评估,尽管这种方法有某些优势,可能会促使更多威胁对手使用,但对于防御强化的网络来说,效用有限,因为良好的终端和网络防御可以检测多个威胁对手的活动并进行补救。”
