微软警示:俄罗斯“沙虫”APT组织借Edge漏洞全球出击
微软警示:俄罗斯“沙虫”APT组织借Edge漏洞全球出击
原创 紫队 紫队安全研究 2025-04-24 04:00
大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
在网络安全领域,有一个组织恶名昭彰,那就是俄罗斯军事情报机构(GRU)下属的“沙虫”(Sandworm,又称“贝壳暴雪”Seashell Blizzard,军事单位编号74455)。它制造的NotPetya攻击,对2018年冬奥会发起的网络攻势,以及两次成功袭击乌克兰电网等事件,都令人印象深刻。而近期,它又有了新动向,开始朝着更隐蔽、更广泛的网络入侵方向转变。微软将该组织追踪为“贝壳暴雪”,并识别出其内部一个专门致力于获取各主要行业和不同地理区域高价值组织初始访问权限的子组织——“坏飞行员”(BadPilot)。
“坏飞行员”:“沙虫”的前沿先锋
自2021年末起,“坏飞行员”就开始针对面向互联网的基础设施展开机会主义攻击,利用流行的电子邮件和协作平台中的已知漏洞兴风作浪。像Zimbra的CVE-2022-41352漏洞、微软Exchange的CVE-2021-34473漏洞,以及微软Outlook的CVE-2023-23397漏洞,都是它的“攻击武器”。这三个漏洞在通用漏洞评分系统(CVSS)中都被评为最高等级的“严重”,得分高达9.8分(满分10分)。“坏飞行员”利用这些严重漏洞,成功渗透进传统意义上的高价值组织,包括电信公司、石油和天然气企业、航运公司、武器制造商以及外国政府机构等。其攻击目标范围极广,从乌克兰和欧洲其他地区,到中亚、南亚以及中东地区,无一幸免。自2024年初起,“坏飞行员”的黑手更是伸向了美国和英国。在这一过程中,它特别利用了远程监控和管理软件中的漏洞。例如,Fortinet Forticlient企业管理服务器(EMS)中的CVE-2023-48788远程注入漏洞,以及ConnectWise的ScreenConnect中罕见的CVSS评分高达10分的CVE-2024-1709身份验证绕过漏洞。
入侵流程:步步为营的恶意操作
一旦在目标系统上站稳脚跟,“坏飞行员”就会像普通黑客操作一样,有条不紊地展开后续行动。它会迅速利用自定义的“LocalOlive”Web shell建立持久化访问权限,同时复制合法的远程管理和监控(RMM)工具,或者使用“ShadowLink”将受感染系统配置为Tor隐藏服务。接着,它会收集凭证,进行横向移动,必要时窃取数据,有时还会开展进一步的入侵后活动。微软威胁情报战略总监谢罗德·德格里波指出:“这里并非缺乏复杂技术,而是更注重行动的敏捷性和目标的达成。这些战术之所以奏效,是因为这个威胁行为者极具持续性,不断追求其目标。”
对乌克兰的影响:战争背后的网络黑手
从根本上讲,“坏飞行员”的任务是为其所属的“沙虫”组织更大规模的攻击创造条件,进而服务于背后的俄罗斯政府。微软称,尽管它的很多活动看似是机会主义行为,但这些入侵行为的积累,为“贝壳暴雪”在应对俄罗斯不断变化的战略目标时提供了更多选择。例如,该组织在俄罗斯入侵乌克兰前几个月成立,这或许并非巧合。随着俄乌战争爆发,俄罗斯对乌克兰发动了前所未有的网络攻击,“坏飞行员”也参与其中,助力获取那些被认为向其对手提供政治或军事支持的组织的访问权限。微软还表示,自2023年以来,该组织至少在乌克兰发动了三次破坏性攻击。自战争爆发以来,“沙虫”一直针对乌克兰的关键基础设施,包括电信基础设施、制造工厂、运输和物流、能源、供水、军事和政府组织,以及其他为平民提供支持的基础设施。此外,它还针对军事社区进行情报收集。德格里波强调:“这些威胁行为者具有持续性、创造性、组织性,且资源充足。因此,关键行业必须确保维持高于平均水平的安全措施,及时修补软件漏洞,监控面向互联网的资产,并提升整体安全态势。”在当前复杂的国际形势下,网络安全已成为国家和企业安全的重要防线。面对像“沙虫”及其“坏飞行员”这样的强大威胁,各国和各行业都需高度警惕,加强防范,共同守护网络空间的安全与稳定。
加入知识星球,可继续阅读
一、”全球高级持续威胁:网络世界的隐形战争”,总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。
二、”DeepSeek:APT攻击模拟的新利器”,为你带来APT攻击的新思路。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。