俄罗斯APT组织Turla渗透巴基斯坦APT组织Storm-0156组织的C2服务器

执行摘要

Lumen 的 Black Lotus 实验室发现了一个由俄罗斯威胁行为者“Secret Blizzard”（也称为Turla）策划的长期活动。该组织已成功渗透巴基斯坦行为者“Storm-0156”使用的 33 个独立命令和控制 (C2) 节点。Storm-0156 以专注于间谍活动而闻名，据公开报道，它与两个活动集群“SideCopy”和“Transparent Tribe”有关。这项最新的活动持续了两年，是自 2019 年首次被发现重新利用伊朗威胁组织的 C2以来，Secret Blizzard 第四次嵌入其他组织行动的记录案例。

2022 年 12 月，Secret Blizzard 最初获得了 Storm-0156 C2 服务器的访问权，到 2023 年中期，其控制范围已扩大到与 Storm-0156 参与者相关的多个 C2。Secret Blizzard 从这些服务器中的有利位置，利用 Storm-0156 获得的现有访问权限，将自己的恶意软件“TwoDash”和“Statuezy”部署到与阿富汗政府内部各个实体相关的少数网络中。值得注意的是，2023 年 4 月，Secret Blizzard 通过进入巴基斯坦运营商的工作站来推进其行动。通过这个渠道，他们可能获得了大量数据。这笔赏金包括对 Storm-0156 工具的洞察、C2 和目标网络的凭据，以及从以前的操作中收集的泄露数据。

到 2024 年中期，Secret Blizzard 已将重点扩大到使用另外两个恶意软件系列Waiscot和 CrimsonRAT，这些恶意软件都是从巴基斯坦工作站盗用的。CrimsonRAT之前被发现用于对付印度的政府和军​​事目标。Secret Blizzard 后来利用他们的访问权限收集了该恶意软件先前部署的数据。

Lumen Technologies 感谢我们的合作伙伴 Microsoft Threat Intelligence Team (MSTIC) 在跟踪和缓解此威胁方面做出的宝贵贡献。本报告与 MSTIC博客一起发布，进一步深入了解这些事件。

介绍

Black Lotus Labs 监控了各种各样的国家行为者，包括之前发布的有关 Secret Blizzard 攻击活动的报告，该活动利用战略性入侵了乌克兰网站，这个组织的一个显著特点是：他们大胆地利用其他威胁行为者的 C2 服务器来达到自己的目的。这种策略使 Secret Blizzard 能够远程获取之前从被入侵网络窃取的敏感文件，而无需使用（并可能暴露）他们自己的工具；至关重要的是，此类操作可以避免或延迟归因。在其他威胁行为者尚未获取有关其目标的所有感兴趣数据的情况下，他们可以在 C2 节点上收集的数据中搜索被盗的身份验证材料以获取访问权限，或者使用现有访问权限扩大收集范围并将其代理部署到网络中。通过这样做，Secret Blizzard 基本上利用了原始威胁行为者创建的立足点。

虽然这种数据收集方法具有独特的优势，但恶意行为者如果止步于此，就只能在由单个 C2 节点控制的网络内收集数据或获得访问权限。Secret Blizzard 继续利用信任关系，从行为者的 C2 节点转移到操作员的工作站。我们认为，民族国家和网络犯罪分子端点和恶意软件特别容易受到利用，因为它们无法使用现代安全堆栈来监视访问并防止利用。当威胁行为者安装了安全产品后，就会导致他们以前未知的漏洞和工具被泄露。我们怀疑，例行删除日志数据（威胁行为者的标准最佳实践）会加剧这种暴露。

本报告阐述了过去两年来 Secret Blizzard 在中东扩张业务所采取的细致而系统的方法。我们将首先简要描述 Storm-0156（SideCopy/Transparent Tribe）的作案手法，然后展示如何利用 Storm-0156 的访问权限，让 Secret Blizzard 从 2022 年开始瞄准阿富汗政府网络。我们怀疑他们操纵了那些 Storm-0156 C2 的信任关系，进入巴基斯坦计算机网络运营商的工作站，一路窃取这些节点的数据，包括用于与印度网络交互的 Waiscot 和 CrimsonRAT 恶意软件。

技术细节

Storm-0156 作案手法和此前未记录的谍报技术概述

Black Lotus Labs 之前曾追踪过与 Storm-0156 相关的活动集群，Storm-0156 是一个在巴基斯坦境内活动的民族国家行为体。过去几年中，该威胁行为体使用了多种开源工具（例如AllaKore）和自定义远程访问木马。尽管 Storm-0156 已证明能够熟练地将其工具适配到不同的操作系统，包括最近为Linux系统集成了基于 Python 的工具，但其基本策略、技术和程序 (TTP) 基本保持不变。从广义上讲，Storm-0156 的活动主要针对区域政府组织，持续关注阿富汗和印度，包括政府、技术和工业控制系统（例如发电和配电）中的实体。

2023 年 1 月，Lumen 观察到了 Storm-0156 活动，该活动使用单个 VPS，185.217.125[.]195，该 VPS 带有“hak5 Cloud C2”横幅，由已知的 Storm-0156 C2 管理。此横幅表明该服务器充当基于云的 C2，配置为控制一套 Hak5 工具。Hak5 设备的独特之处在于它为“红队、渗透测试人员、网络安全学生和 IT 专业人士”提供基于硬件的解决方案。与 Storm-0156 之前使用的商品 RAT 不同，Hak5 设备需要物理访问工作站、网线或靠近 WiFi Pineapple。虽然之前已经观察到使用近距离访问设备的现象，但很少有报道。安装后，这些设备可以秘密检索数据或运行预定义脚本。基于硬件的攻击的优势在于其设计，它允许用户有效地绕过标准 EDR/XDR 保护。

此次攻击活动是在新服务器由两个已知的 Storm-0156 运行节点管理后曝光的；第一个节点 209.126.6[.]227 于 2023 年 1 月至 2 月期间连接。奇安信报告的第二个节点 209.126.81[.]42于 2023 年 2 月至 7 月期间连接到该新服务器。对与此 Hak5 Cloud C2 相关的遥测数据的分析显示，与有限数量的实体相关的大量数据流。这些实体包括印度外交部驻欧洲办事处、印度国防组织和其他几个政府机构，均发生在 2022 年 12 月至 2023 年 3 月期间。

图 1：Storm-0156 的 Hak5 Cloud C2 与已知 C2 之间的逻辑连接。

Secret Blizzard 获得 Storm-0156 C2s 的使用权

在监控 Storm-0156 活动时，我们发现了 11 个 C2 节点，这些节点从 2022 年 12 月到 2023 年中期一直处于活跃状态。Black Lotus Labs 观察到了 11 个节点中的 8 个对应的恶意软件样本或公开报告。进一步分析发现，这 11 个节点都与三个新发现的 VPS IP 地址进行通信。这些 VPS 引起了我们的注意，因为它们是通过我们在之前的 Storm-0156 活动中没有见过的提供商租用的。我们在 MSTIC 的同行能够确认这三个节点与 Secret Blizzard 有关，Secret Blizzard 从至少 2022 年 12 月到 2023 年 8 月使用了以下三个 IP 地址：146.70.158[.]90、162.213.195[.]129、146.70.81[.]81。

虽然我们无法确定 Secret Blizzard 如何识别与公开恶意软件样本或报告不符的其余三个节点，但我们怀疑他们可能使用了Team Cymru在此处概述的远程桌面协议 (RDP) 透视方法。Storm-0156 IP 地址的完整列表以及与 2023 Secret Blizzard C2 交互的时间范围如下：

• 154.53.42[.]194；2022 年 12 月 11 日 – 2024 年 10 月 7 日
• 66.219.22[.]252；2022 年 12 月 12 日 – 2023 年 7 月 9 日
• 66.219.22[.]102；2022 年 12 月 27 日 - 2023 年 8 月 9 日
• 144.126.152[.]205； 2022年12月28日 – 2023年3月2日
• 185.229.119[.]60； 2023 年 1 月 31 日至 3 月 14 日
• 164.68.108[.]153； 2023 年 2 月 22 日至 8 月 21 日
• 209.126.6[.]227； 2023 年 2 月 27 日至 3 月 22 日
• 209.126.81[.]42；2023 年 4 月 30 日至 7 月 4 日
• 209.126.7[.]8；2023 年 5 月 5 日至 8 月 22 日
• 154.38.160[.]218； 2023 年 4 月 12 日至 8 月 23 日
• 144.126.154[.]84；2023 年 6 月 23 日至 8 月 21 日

我们观察到这种行为在 2024 年继续存在；然而，Secret Blizzard 在 2024 年将其 C2 节点轮换为以下 IP 地址：146.70.158[.]90、162.213.195[.]192。九个 Storm-0156 IP 地址列表以及与 2024 年 Secret Blizzard C2 交互的时间范围如下所示：

• 173.212.252[.]2；2024 年 5 月 29 日至 10 月 10 日
• 185.213.27[.]94；2024 年 5 月 26 日至 8 月 24 日
• 167.86.113[.]241；2024 年 5 月 28 日至 8 月 9 日
• 109.123.244[.]46；2024 年 5 月 28 日至 10 月 18 日
• 23.88.26[.]187；2024 年 5 月 29 日至 10 月 20 日
• 173.249.7[.]111；2024 年 8 月 28 日至 10 月 24 日
• 62.171.153[.]221；2024 年 5 月 27 日至 10 月 21 日
• 173.212.252[.]2； 2024 年 5 月 29 日至 11 月 20 日
• 149.102.140[.]36；2024 年 5 月 28 日至 9 月 2 日

秘密暴雪将自己的工具植入阿富汗政府网络

在监控 Secret Blizzard 与 Storm-0156 C2 节点的互动过程中，我们发现 Storm-0156 威胁行为者之前曾入侵过阿富汗政府网络，并发现了来自这些网络的信标活动。这让我们有信心地相信，Secret Blizzard 利用他们对 Storm-0156 C2 的访问权限收集了重要的网络信息，并将自己的恶意软件“Two-Dash”部署到阿富汗政府网络中。

我们观察到来自阿富汗的几个 IP 地址的通信。传输数据的持续时间和数量表明，其中三个 IP 地址仅显示一周的信标活动，这表明 Secret Blizzard 选择不保持长期访问。然而，其他三个网络似乎更令人感兴趣，因为它们显示几个月的信标活动，并进行了大量数据传输：

• 秘密暴雪 C2 节点 146.70.158[.]90 发现与六个 IP 地址交互，并且至少从 2023 年 1 月 23 日到 2023 年 9 月 4 日处于活跃状态。
• 秘密暴雪 C2 节点 162.213.195[.]129 与 5 个 IP 地址进行通信，并且从 2022 年 12 月 29 日至 2023 年 9 月 4 日一直活跃。
• 秘密暴雪 C2 节点 167.88.183[.]238 于 2023 年 4 月 17 日仅传输到一个 IP 地址。

从至少 2024 年 5 月到 10 月，我们观察到来自同几个阿富汗政府网络的持续连接，唯一显着的区别是 C2 与之前的 Storm-0156 感染保持一致，旋转为 143.198.73[.]108。

进入虚空：秘密进入巴基斯坦运营商网络

此次活动最关键的观察是检测到了 Two-Dash 信标活动，不仅来自阿富汗的 Storm-0156 C2 节点，还来自巴基斯坦的动态 IP 地址。

2023 年 5 月 4 日，巴基斯坦 IP 地址 182.188.171[.]52 在 UTC 时间 6:19:00 至 10:48:00 通过远程桌面协议 (RDP) 连接到已知的 AllaKore C2 节点。在此期间，同一个巴基斯坦 IP 地址 182.188.171[.]52 在 05:57:00 至 08:13:00 与已知的 Secret Blizzard IP 地址 146.70.158[.]90 建立了连接。鉴于连接时长接近两个小时，而且 Secret Blizzard IP 地址 146.70.158[.]90 被用作 Storm-0156 C2 节点和阿富汗政府受害者的 C2 服务器，这高度表明他们自己就入侵了 Storm-0156 运营商。然后，我们观察到来自巴基斯坦的各种动态 IP 地址的间歇性连接，连接到已知的 Secret Blizzard C2。

我们怀疑他们利用了 Storm-0156 C2 面板的访问权限，然后滥用信任关系横向进入 Storm-0156 操作员的工作站。这一成就可能使他们能够访问之前被 Storm-0156 入侵的其他网络，其中包括其他中东政府实体。

图 2：秘密暴雪渗透 Storm-0156 和阿富汗政府网络

双重秘密缓刑：秘密暴雪瞄准与印度网络相关的 C2

从 2024 年开始，Lumen 对 Secret Blizzard 基础设施的持续监控揭示了与CrimsonRAT C2 节点子集的交互，这些节点之前曾用于针对印度政府和军队。值得注意的是，Secret Blizzard 仅与七个 CrimsonRAT C2 进行了接触，尽管我们的数据显示还有更多可用。这种选择性接触意味着，虽然他们有能力访问所有节点，但他们的工具部署在战略上仅限于与印度最高优先级目标相关的节点。最有吸引力的七个是：

• 38.242.219[.]13；2024 年 5 月 29 日至 10 月 20 日
• 5.189.183[.]63；2024 年 6 月 2 日至 8 月 11 日
• 62.171.153[.]221；2024 年 5 月 27 日至 10 月 13 日
• 38.242.211[.]87；2024 年 5 月 29 日至 10 月 5 日
• 45.14.194[.]253；2024 年 5 月 26 日至 9 月 18 日
• 173.212.206[.]227；2024 年 5 月 29 日至 8 月 2 日
• 209.145.52[.]172； 2024 年 5 月 27 日至 11 月 21 日

Lumen 还观察到 Storm-0156 针对印度的攻击使用了此前未记录的恶意软件家族 Waiscot，该家族是一种 Go 编译的远程访问木马。Waiscot 恶意软件以及其他 Storm-0156 恶意软件家族用于与以下印度 IP 地址进行交互：

• 130.185.119[.]198；2022 年 12 月 9 日 – 2024 年 8 月 14 日
• 173.249.18[.]251； 2023 年 2 月 15 日至 8 月 24 日
• 176.57.1​​84[.]97；2024 年 5 月 31 日至 10 月 20 日
• 209.126.11[.]251；2024 年 5 月 25 日至 6 月 13 日

我们还观察到其他针对印度组织的恶意软件家族，例如 ActionRat，其 IP 地址和时间范围如下：

• 144.91.72[.]17；2022 年 12 月 16 日 - 2023 年 4 月 26 日
• 84.247.181[.]64； 2024 年 5 月 27 日至 11 月 17 日

一个有趣的观察是，尽管 Lumen 检测到 Secret Blizzard 与各种 C2 交互，但我们没有看到 Secret Blizzard 在印度网络中部署自己的代理，如 Two-Dash 或 Statuezy。目前尚不清楚他们是否向下游移动至这些受害者，因为他们可能从 C2 获取了相关数据，或者正在使用 Storm-0156 已经建立的现有代理来提交数据请求。

结论

Secret Blizzard 活动集群及其母组织俄罗斯联邦安全局 (FSB) 一直采用复杂的间谍技术来实现他们的目标，同时保持其行动的秘密性。其他俄罗斯组织通常使用各种技术来制造似是而非的否认 - 例如通过网络犯罪分子管理的住宅代理网络进行运作，或使用Cobalt Strike等商用框架- 但 Turla 不同，他们选择了一种独特的策略。入侵其他威胁行为者的命令和控制服务器不仅可以帮助他们收集他们想要的信息，而且如果事件响应工作发现这些网络受到攻击，还可以将责任推给其他组织。我们记录了这个案例研究，因为我们相信这种方法可能会持续下去，特别是在包括美国和欧洲盟友在内的西方国家继续揭露和谴责俄罗斯在网络空间的活动的情况下。

Black Lotus Labs 继续监控和跟踪民族国家俄罗斯活动集群，以帮助保护和更好地保障互联网安全。为此，我们已阻止 Lumen 全球主干网上与 Secret Blizzard 和 Storm-0156 的各个子集群相关的所有架构的流量。我们已将此活动的入侵指标 (IoC) 添加到为 Lumen Connected Security 产品组合提供支持的威胁情报源中。我们将继续监控新的基础设施、目标活动和扩展的 TTP，并将继续与安全研究社区合作，分享与此活动相关的发现。

我们强烈建议对所有攻击都一视同仁，无论该活动是否被标记为国家恶意软件家族或与网络犯罪有关，因为这两者都曾被 Secret Blizzard 所利用。我们鼓励社区监控并警告这些以及任何类似的 IoC。我们还建议：

• 经过良好调整的 EDR 解决方案可定期接收所有网络资产的签名更新，以及集中监控以寻找网络内横向移动的迹象。
• 查找网络外的大量数据传输，即使目标 IP 地址物理上位于同一地理区域。
• 所有组织：考虑采用综合安全访问服务边缘 (SASE) 或类似的解决方案来增强其安全态势并实现对基于网络的通信的强大检测。

IOCS:
IP address, Association, first seen, last seen

146.70.158[.]90, Secret Blizzard, December 1 2022, August 2023
162.213.195[.]129, Secret Blizzard, December 1 2022 , August 2023
146.70.81[.]81, Secret Blizzard, December 1 2022 , August 2023
146.70.158[.]90, Secret Blizzard, May 2024 , October 2024
162.213.195[.]192, Secret Blizzard, May 2024 , October 2024
154.53.42[.]194, Storm-0156, Dec 11, 2022 , October 7, 2024
66.219.22[.]252, Storm-0156, Dec 12, 2022 , July 9 2023
66.219.22[.]102, Storm-0156, Dec 27, 2022 , Aug 9 2023
144.126.152[.]205, Storm-0156, Dec 28, 2022 , March 2 2023
185.229.119[.]60, Storm-0156, Jan 31 2023 , March 14 2023
164.68.108[.]153, Storm-0156, Feb. 22 2023, August 21 2023
209.126.6[.]227, Storm-0156, Feb 27 2023, March 22 2023
209.126.81[.]42, Storm-0156, April 30 2023, July 4 2023
209.126.7[.]8, Storm-0156, May 5 2023, August 22 2023
154.38.160[.]218, Storm-0156, April 12 2023, August 23 2023
144.126.154[.]84, Storm-0156, June 23 2023, August 21 2023
173.212.252[.]2, Storm-0156, May 29 2024, October 10 2024
185.213.27[.]94, Storm-0156, May 26 2024, August 24 2024
167.86.113[.]241, Storm-0156, May 28 2024, August 9 2024
109.123.244[.]46, Storm-0156, May 28 2024, October 18 2024
23.88.26[.]187, Storm-0156, May 29 2024, October 20 2024
209.126.11[.]251, Waiscot, May 25 2024, June 13 2024
173.249.7[.]111, Storm-0156, August 28 2024, October 24 2024
62.171.153[.]221, Storm-0156, May 27 2024, October 21 2024
173.212.252[.]2, Storm-0156, May 29 2024, November 20 2024
149.102.140[.]36, Storm-0156, May 28 2024, September 2 2024
130.185.119[.]198, Waiscot, Dec 9, 2022, August 14 2024
144.91.72[.]17, Storm-0156, Dec 16, 2022, April 26 2023
173.249.18[.]251, Waiscot, Feb 15 2023, August 24 2023
176.57.184[.]97, Waiscot, May 31 2024, October 20 2024
84.247.181[.]64, Storm-0156, May 27 2024, November 17 2024
38.242.219[.]13, CrimsonRat, May 29 2024, October 20 2024
5.189.183[.]63, CrimsonRat, June 2 2024, August 11 2024
62.171.153[.]221, CrimsonRat, May 27 2024, October 13 2024
38.242.211[.]87, CrimsonRat, May 29 2024, October 5 2024
45.14.194[.]253, CrimsonRat, May 26 2024, September 18 2024
173.212.206[.]227, CrimsonRat, May 29 2024, August 2 2024
209.145.52[.]172, CrimsonRat, May 27 2024, November 21 2024