Microsoft 首次发布了我们对俄罗斯国家行为体 Seashell Blizzard 内部的一个子组织及其多年初始访问行动的研究,Microsoft Threat Intelligence 将其称为“BadPilot 活动”。该子组织在全球范围内对面向互联网的基础设施进行了各种入侵,以使 Seashell Blizzard 能够持续攻击高价值目标并支持量身定制的网络运营。本博客详细介绍了该子组织最近观察到的策略、技术和程序 (TTP),并描述了其三种不同的利用模式。此次活动的地理定位几乎覆盖全球,将 Seashell Blizzard 的行动范围扩大到了东欧以外。此外,此次活动中概述的机会主义访问方法将继续为俄罗斯提供利基运营和活动的机会。
Seashell Blizzard 内的这个子组织至少从 2021 年开始活跃,利用机会性访问技术和隐秘的持久性形式来收集凭据、执行命令并支持横向移动,有时会导致严重的区域网络入侵。在初始访问后观察到的操作表明,此活动使 Seashell Blizzard 能够访问敏感行业的全球目标,包括能源、石油和天然气、电信、航运、武器制造以及国际政府。我们评估,该子组织已通过已发布的漏洞利用增强了水平可扩展的能力,这些漏洞使 Seashell Blizzard 能够发现并破坏广泛地理区域和部门的众多面向互联网的系统。自 2024 年初以来,该子组织通过利用 ConnectWise ScreenConnect(CVE-2024-1709)IT 远程管理和监控软件和 Fortinet FortiClient EMS 安全软件(CVE-2023-48788)中的漏洞,将其访问范围扩大到包括美国和英国的目标。这些新的准入行动建立在 2021 年至 2023 年期间的先前努力的基础上,主要影响乌克兰、欧洲以及中亚、南亚和中东的特定垂直行业。
Microsoft Threat Intelligence 评估认为,虽然该子组织的部分攻击是投机取巧,但其攻击行为在应对俄罗斯不断变化的战略目标时,为 Seashell Blizzard 提供了多种选择。自 2022 年 4 月以来,与俄罗斯结盟的威胁行为者越来越多地将目标对准具有地缘政治意义或为乌克兰提供军事和/或政治支持的国际组织。除了在乌克兰境外建立对这些目标的访问权限外,我们评估认为,自 2023 年以来,该子组织可能在乌克兰发动了至少三次破坏性网络攻击(有关他们针对乌克兰的活动的更多信息,请参阅下文对 Seashell Blizzard 的讨论)。
Seashell Blizzard 的广泛访问操作对该组织战略范围内的组织构成了重大风险。尽管该子组织的利用模式具有商品性质,但攻击者在被攻陷后的技巧发生了显著变化,这反映在该子组织的活动中,这可能会延续到 Seashell Blizzard 更传统的操作的其他方面,并对事件响应期间的审计产生更重要的影响。
Microsoft Threat Intelligence 跟踪 Seashell Blizzard 以及该子组织发起的活动,并在可能的情况下直接通知受到攻击或入侵的客户,为他们提供必要的信息以帮助保护他们的环境。作为我们对威胁形势的持续监控、分析和报告的一部分,我们正在分享我们对此次活动活动的研究,以提高对观察到的 TTP 的认识,并教育组织如何加强对此类活动和类似活动的攻击面。
Seashell Blizzard 是谁?
Seashell Blizzard 是一个与俄罗斯联邦有联系的高影响力威胁行为者,代表俄罗斯军事情报部门 74455 (GRU) 开展全球活动。Seashell Blizzard 的专业行动范围从间谍活动到信息行动和网络破坏,通常以破坏性攻击和操纵工业控制系统 (ICS) 的形式出现。该威胁行为者至少从 2013 年开始活跃,其多产行动包括破坏性攻击(例如KillDisk(2015 年)和FoxBlade(2022 年)、供应链攻击(MeDoc,2017 年))和伪勒索软件攻击(例如NotPetya(2017 年)和Prestige(2022 年),此外还有许多其他专门的破坏性能力。Seashell Blizzard 被认为非常擅长对优先计算机网络进行广泛和持续的访问,这有时使该组织在未来潜在的后续活动中拥有相当长的任期。
由于 Seashell Blizzard 专注于计算机网络攻击 (CNE),并且擅长针对 ICS 和监控与数据采集系统 (SCADA) 等关键基础设施,因此其行动经常在军事冲突中发挥作用,并在有争议的地缘政治事件中充当灵活应对的因素。从历史上看,Seashell Blizzard 的一些行动可能被视为俄罗斯联邦有时使用的一系列报复行动的一部分。自 2022 年俄罗斯入侵乌克兰以来,Seashell Blizzard 一直在开展一系列行动,以配合俄罗斯的军事目标。该威胁行为者在该地区的长期战略目标包括能源和水等关键基础设施、政府、军事、交通和物流、制造业、电信和其他支持性民用基础设施。
自 2023 年 4 月以来,Seashell Blizzard 已加大对该地区军事社区的攻击力度,可能是为了获取战术情报。他们持续瞄准乌克兰,这表明 Seashell Blizzard 的任务是获取并保留对高优先级目标的访问权,为俄罗斯军方和俄罗斯政府提供一系列未来行动选项。
Seashell Blizzard 的网络入侵利用了多种技术手段,通常使用一系列常见的公开工具,包括Cobalt Strike和DarkCrystalRAT。与威胁行为者相关的网络入侵已影响到多层基础设施,展示了 Seashell Blizzard 利用公开和自定义漏洞和方法针对最终用户、网络边界和垂直特定系统的能力。
自 2022 年 2 月以来,Seashell Blizzard 对网络入侵采取了三种方法:
- 有针对性:Seashell Blizzard 经常使用定制机制来访问目标,包括扫描和利用特定受害者基础设施、网络钓鱼以及修改现有系统的合法功能以扩展网络访问或获取机密信息。
- 机会主义:Seashell Blizzard 越来越多地利用面向互联网的基础设施,并通过木马软件传播恶意软件植入程序,以实现可扩展但不加区分的访问。在确定受害者具有战略价值的情况下,Microsoft Threat Intelligence 观察到威胁行为者在入侵后进行重大活动。
- 混合:Seashell Blizzard 很可能通过针对乌克兰境内的有限供应链攻击获得了目标组织的访问权限,乌克兰计算机应急响应小组 (CERT-UA) 最近缓解了这一行动。其他混合方法包括入侵区域托管 IT 服务提供商,这通常使攻击者能够访问不同目标的区域或垂直领域。
Seashell Blizzard 与其他安全供应商跟踪的活动重叠,如 BE2、UAC-0133、Blue Echidna、Sandworm、PHANTOM、BlackEnergy Lite 和APT44。
归因评估
Microsoft Threat Intelligence 评估认为,初始访问子组与 Seashell Blizzard 有关。尽管该子组采取了投机取巧的策略,但我们仍能够区分该子组,因为它始终使用不同的漏洞、工具、基础设施和用于建立持久性的后期方法。此外,我们长期的取证调查发现了不同的入侵后活动,其中一部分结合了 Seashell Blizzard 主要使用的特定操作能力和资源。我们还观察到初始访问子组在与 Seashell Blizzard 相关的破坏性攻击之前寻求访问组织。
行动范围和目标趋势
Microsoft Threat Intelligence 评估称,Seashell Blizzard 使用此初始访问子组在获得新漏洞后横向扩展其运营,并维持对俄罗斯当前和未来感兴趣的领域的持续访问。该子组针对各种行业和地理区域开展广泛行动。2022 年,其主要关注点是乌克兰,具体针对能源、零售、教育、咨询和农业部门。2023 年,它将其攻击范围全球化,导致在美国、欧洲、中亚和中东的众多行业内获得持续访问。它经常优先考虑为乌克兰战争提供物质支持或具有地缘政治意义的行业。2024 年,虽然多个漏洞的暴露可能为该子组提供了比以往任何时候都更多的访问权限,但它似乎已将重点放在美国、加拿大、澳大利亚和英国。
该子组织的历史利用模式也导致全球多样化组织遭到入侵,而这些组织似乎对俄罗斯的战略利益没有或几乎没有用处。这种模式表明,该子组织可能使用机会主义的“四处散布”方法实现大规模入侵,以增加以有限的定制努力获取目标访问权限的可能性。在具有战略意义的目标遭到入侵的情况下,我们观察到了入侵后出现的大量活动。该子组织的地理重点经常在针对多个地理目标的广泛活动和针对特定地区或国家的狭隘关注之间转换,这表明该子组织在追求独特区域目标方面具有灵活性。
图 1. 初始访问子群目标的地理分布
初始访问子组利用已发布的 CVE 伺机破坏周边基础设施
自 2021 年底以来,Seashell Blizzard 已利用这个初始访问子组开展有针对性的行动,通过直接扫描发现易受攻击的面向互联网的基础设施,更独特的是,利用第三方互联网扫描服务和知识库。这些利用工作之后是操作生命周期,使用一组一致的 TTP 来支持持久性和横向移动,这些 TTP 随着时间的推移逐渐发展为更具规避性。Microsoft Threat Intelligence 已确定与该子组相关的至少三种不同的利用模式和操作行为,下面将对其进行更详细的描述:
图 2. Seashell Blizzard 初始访问子组运营生命周期
到目前为止,该子组织至少利用了 8 个漏洞,这些漏洞常见于小型办公室/家庭办公室 (SOHO) 和企业网络的网络边界上的特定类别的服务器基础设施中:
- 微软 Exchange(CVE-2021-34473)
- Zimbra 合作组织 ( CVE-2022-41352 )
- OpenFire(CVE-2023-32315)
- JetBrains TeamCity(CVE-2023-42793)
- Microsoft Outlook(CVE-2023-23397)
- Connectwise ScreenConnect ( CVE-2024-1709 )
- Fortinet FortiClient EMS(CVE-2023-48788)
- JBOSS(具体 CVE 未知)
在几乎所有成功利用的案例中,Seashell Blizzard 都采取措施在受影响的系统上建立长期持久性。至少有三起案例表明,这种持久访问先于 Seashell Blizzard 发起的选择性破坏性攻击,这突显出该子组织可能会定期发起破坏性或破坏性攻击。
漏洞利用模式
我们观察到初始访问子组使用了三种特定的漏洞利用模式:
部署远程管理和监控 (RMM) 套件以实现持久性以及命令和控制(2024 年 2 月 24 日 - 至今)
2024 年初,初始访问小组开始使用 RMM 套件,这是 Seashell Blizzard 用来实现持久性和命令与控制 (C2) 的一种新技术。这是在该小组利用 ConnectWise ScreenConnect (CVE-2024-1709) 和 Fortinet FortiClient EMS (CVE-2023-48788) 中的漏洞时首次发现的。该小组随后部署了 RMM 软件,例如 Atera Agent 和 Splashtop Remote Services。使用 RMM 软件允许威胁行为者在伪装成合法实用程序的同时保留关键的 C2 功能,这使得它比远程访问木马 (RAT) 更不容易被检测到。虽然这些 TTP 至少自 2022 年以来就已被其他国家威胁行为者使用,包括伊朗国家行为者Mango Sandstorm,但 Seashell Blizzard 初始访问小组的具体技术被认为是独一无二的。
图 3. 使用 ScreenConnect 安装 Atera Agent
在此攻击模式开始的最初几周内,初始访问小组主要针对乌克兰、美国、加拿大、英国和澳大利亚的组织。Seashell Blizzard 很可能只针对这一初始受害者池中的少数组织开展了入侵后活动。对于这些组织,Seashell Blizzard 通过多种方式进行了初步凭证访问,并部署了至少一个自定义实用程序来促进远程访问和隧道(有关详细信息,请参阅下面有关 ShadowLink 的部分)。
CVE-2024-1709 和 CVE-2023-48788 均提供了在易受攻击的服务器上启动任意命令的能力。利用该漏洞后,该小组使用两种有效载荷检索方法在受影响的服务器上安装 RMM 代理:
- 从合法代理端点检索 Atera Agent 安装程序——通常在被利用的 ScreenConnect 服务器上观察到,Seashell Blizzard 使用生成的命令执行通过 Bitsadmin 和 curl 从 Atera 托管的合法安装 URL 检索 Atera 安装程序。
- 从参与者控制的基础设施中检索 Atera 代理——在 2024 年 4 月 9 日至 4 月 10 日利用 CVE-2023-48788 期间,Seashell Blizzard 从参与者控制的虚拟专用服务器 (VPS) 基础设施中检索了远程代理安装程序。
安装 RMM 软件后,Seashell Blizzard 使用代理的本机功能来部署辅助工具,以帮助获取凭证、泄露数据和上传自定义实用程序,从而实现对受感染系统的更稳健的访问。
Seashell Blizzard 可能采用三种主要的凭证访问方法:
- _通过reg.exe_进行基于注册表的凭据访问:
- 通过重命名的 procdump 进行凭证访问:
- 由于 RMM 代理通常提供交互式图形界面,因此可能还采用了通过任务管理器常见的本机凭据访问机制。此外,还可能采用了通过 LSASS 进程转储通过 Taskmanager UI 进行凭据访问。
在 Seashell Blizzard 入侵期间,我们观察到_rclone.exe_部署到受影响的服务器,随后使用参与者提供的配置文件执行数据泄露。
在部分受害者中,Seashell Blizzard 进行了独特的入侵后活动,表明威胁行为者寻求更持久的持久性和直接访问。在这些情况下,Seashell Blizzard 部署了具有唯一公钥的 OpenSSH,允许他们使用行为者控制的帐户和凭据访问受感染的系统,此外还部署了 Microsoft Threat Intelligence 称为 ShadowLink 的独特持久性和有保证的 C2 方法。
图 4. ShadowLink 如何避免被发现
ShadowLink 通过将受感染系统配置为 Tor 隐藏服务来促进持久远程访问。这是通过使用 Tor 服务二进制文件和唯一的参与者定义的 Tor 配置文件(称为“torrc”)的组合来实现的,该文件将系统配置为远程访问。被 ShadowLink 感染的系统会收到一个唯一的_.onion_地址,使其可以通过 Tor 网络进行远程访问。此功能使 Seashell Blizzard 能够绕过部署 RAT 的常见漏洞模式,该模式通常利用某种形式的 C2 来控制参与者控制的基础设施,而这些基础设施通常很容易被网络管理员审核和识别。相反,通过依赖 Tor 隐藏服务,受感染系统会创建一条通往 Tor 网络的持久电路,充当隐蔽隧道,有效地隐藏所有与受影响资产的入站连接,并限制参与者和受害者环境的暴露。
ShadowLink 包含两个主要组件:合法的 Tor 服务二进制文件和包含 Tor 隐藏服务地址必要配置的 torrc,具体来说,就是远程桌面协议 (RDP) 和安全外壳 (SSH) 协议等常见服务的端口转发。通常,Seashell Blizzard 会利用 ShadowLink 将 Tor 隐藏服务地址的入站连接重定向到 RDP 端口 (3389)。ShadowLink 通过系统服务持久化:
Microsoft Threat Intelligence 还观察到另一个 GRU 参与者 Forest Blizzard 在其行动中利用了类似的基于 Tor 的功能。
用于持久性和 C2 的 Web shell 部署(2021 年末 - 至今)
自 2021 年底以来,Seashell Blizzard 初始访问小组主要在成功利用后部署 Web Shell,以保持立足点并获得执行必要命令的能力,从而部署辅助工具以协助横向移动。到目前为止,这种利用模式仍然是其主要的持久性方法。从 2022 年年中开始,这种利用模式使针对中亚和欧洲组织的独特入侵后活动成为可能,这些活动可能旨在进一步实现俄罗斯的地缘政治目标并针对特定战略目标进行部署。
图 5. Seashell Blizzard 对 CVE-2021-34473 和 CVE-2022-41352 的利用
利用 Microsoft Exchange 和 Zimbra 漏洞
Microsoft Threat Intelligence 已确定此初始访问子组持续部署了至少两个 Web Shell。虽然可以使用多种方法部署 Web Shell,但它们通常是在利用允许远程代码执行 (RCE) 或实现某种程度的任意文件上传的漏洞后部署的。就初始访问子组而言,我们观察到在利用 Microsoft Exchange (CVE-2021-34473) 和 Zimbra (CVE-2022-41352) 中的漏洞后部署的 Web Shell。在 RCE 可用的情况下,初始访问子组会定期从参与者控制的基础设施中检索 Web Shell。该基础设施可以是合法但受到入侵的网站,也可以是专用的参与者基础设施。
我们观察到使用了以下 Web Shell 检索命令:
Microsoft Threat Intelligence 已确定一个 Web Shell,我们认为该 Web Shell 是初始访问子组所独有的,并且与前面提到的 Web Shell 检索模式相关联。该 Web Shell 被检测为 LocalOlive,是在受感染的外围基础设施上发现的,是该子组实现 C2 和向受感染基础设施部署其他实用程序的主要手段。该 Web Shell 以支持 C# 的 ASPX 编写,具有足够但基本的功能来支持以下次要活动:
- 上传和下载文件
- 运行 shell 命令
- 打开端口(默认端口设置为 TCP 250)
图6. LocalOlive Web Shell def.aspx
2022 年 10 月 24 日,初始访问子组成功利用了 CVE-2022-41352。此 Zimbra Collaborative 漏洞允许威胁行为者通过发送带有特制附件的电子邮件来部署 Web Shell 和其他任意文件,从而有效地利用了任意文件写入漏洞。初始访问子组利用此漏洞向受影响的服务器传递原始 Web Shell,从而允许执行任意命令。
电子邮件是从以下行为者控制的地址发送的:
- akfcjweiopgjebvh@proton.me
- ohipfdpoih@proton.me
- miccraftsor@outlook.com
- amymackenzie147@protonmail.ch
- ehklsjkhvhbjl@proton.me
- MirrowSimps@outlook.com
图 7. Zimbra 利用过程中使用的 Web shell
侦察和指纹识别
部署 Web Shell 后,初始访问子组随后执行以下可能用于对受害者网络进行指纹识别和属性分析的特定顺序命令;这些行为模式可能表明,操作员要么迅速利用漏洞,要么在成功利用漏洞后可能使用自动化手段。
隧道设施部署
当 Seashell Blizzard 确定可能具有战略价值的目标时,它通常会通过部署隧道实用程序(例如Chisel、plink和rsockstun)来在受影响的网络段中建立专用管道,从而进一步破坏网络。
部署 Chisel 时,通常遵循多种命名约定,包括:
- 微软小工具
- 微软南安软件
- 管理软件
- 凿子
- 运行程序
- 安装程序
- 微软Exchange32
- 桌面应用程序
- 系统启动程序
例如,初始访问子组使用了以下隧道命令:
当 rsockstun 部署时,它使用了诸如_Sc.exe_之类的命名约定。
隧道开挖
在建立隧道时,初始访问子组已定期建立通向专属 VPS 参与者拥有的基础设施的反向隧道,其中包括:
| 隧道 IP | 首次观察到使用 | 最后观察使用 |
|---|---|---|
| 103.201.129[.]130 | 2022 年 5 月 | 2022 年 7 月 |
| 104.160.6[.]2 | 2022 年 9 月 | 2022 年 12 月 |
| 195.26.87[.]209 | 2023 年 9 月 | 2024 年 4 月 |
请注意,这些 IP 地址与上表列举的时间范围内或前后的时间范围相关。在撰写本文时,Seashell Blizzard 可能不再使用某些 IP 地址,但这些 IP 地址可用于了解历史和取证情况。
修改基础设施,通过凭证收集扩大网络影响力(2021 年末 - 2024 年)
在初始访问子组可能寻求网络访问的目标操作中,Microsoft Threat Intelligence 观察到对网络资源的后续恶意修改,包括 Outlook Web Access (OWA) 登录页面和 DNS 配置。
图 8. Seashell Blizzard 利用 OWA 的简单攻击链
修改网络资源允许 Seashell Blizzard 被动收集相关网络凭证,这些凭证可用于扩大攻击者对敏感信息的访问权限,并扩大其对目标网络的访问权限。值得注意的是,与这种独特技术相关的基础设施有时也用于前两种利用模式,这凸显了后期基础设施的多功能性,它可能并不总是局限于不同的利用模式。
修改 Web 访问登录门户
初始访问子组使用恶意 JavaScript 插入合法的登录门户。当受影响组织的用户实时提交明文用户名和密码时,此恶意 JavaScript 会收集这些用户名和密码并将其发送到行为者控制的基础设施。我们评估此方法可能为子组提供了凭据,以支持在多个组织内进行横向移动。
在修改合法的 OWA 登录页面时,Microsoft Threat Intelligence 跟踪了与此独特凭据收集方法相关的以下行为者控制的基础设施:
- hwupdates[.]com
- 云同步[.]org
- 103.201.129[.]130
图 9. Seashell Blizzard 从 OWA 收集凭证
修改 DNS 配置
Microsoft Threat Intelligence 有信心地评估,初始访问子组已修改了选定目标的 DNS A 记录配置。虽然这些修改的目的尚不清楚,但由于受影响系统的性质,它们可能旨在拦截来自关键身份验证服务的凭据。
结论
鉴于 Seashell Blizzard 是俄罗斯在乌克兰的网络先锋,微软威胁情报评估认为,该访问小组将继续创新新的水平可扩展技术,以入侵乌克兰和全球网络,以支持俄罗斯的战争目标和不断变化的国家优先事项。该小组在更广泛的 Seashell Blizzard 组织中以其近乎全球的影响力为特征,代表着 Seashell Blizzard 进行的地理定位和行动范围的扩大。同时,Seashell Blizzard 影响深远、机会主义的访问方法可能为俄罗斯提供广阔的机会,以开展利基行动和活动,这些机会将在中期内继续具有价值。
Indicators of compromise(IOC)
| Indicator | Type |
|---|---|
| def.aspx | LocalOlive web shell |
| akfcjweiopgjebvh@proton.me | Actor-controlled email address |
| ohipfdpoih@proton.me | Actor-controlled email address |
| miccraftsor@outlook.com | Actor-controlled email address |
| amymackenzie147@protonmail.ch | Actor-controlled email address |
| ehklsjkhvhbjl@proton.me | Actor-controlled email address |
| MirrowSimps@outlook.com | Actor-controlled email address |
| MsChSoft.exe | Chisel tunneling utility |
| MsNan.exe | Chisel tunneling utility |
| Msoft.exe | Chisel tunneling utility |
| Chisel.exe | Chisel tunneling utility |
| Win.exe | Chisel tunneling utility |
| MsChs.exe | Chisel tunneling utility |
| MicrosoftExchange32.exe | Chisel tunneling utility |
| Sc.exe | Rocstun tunneling utility |
| 103.201.129[.]130 | Seashell Blizzard infrastructure |
| 104.160.6[.]2 | Seashell Blizzard infrastructure |
| 195.26.87[.]209 | Seashell Blizzard infrastructure |
| hwupdates[.]com | Seashell Blizzard infrastructure |
| cloud-sync[.]org | Seashell Blizzard infrastructure |
| c7379b2472b71ea0a2ba63cb7178769d27b27e1d00785bfadac0ae311cc88d8b | LocalOlive |
| b38f1906680c80e1606181b3ccb8539dab5af2a7222165c53cdd68d09ec8abb0 | LocalOlive |
| 9f3d8252e8f3169751a705151bdf675ac194bfd8457cbe08e1f3c17d7e9e9be2 | LocalOlive |
| 68c7aab670ee9d7461a4a8f06333994f251dc79813934166421091e2f1fa145c | LocalOlive |
| b9ef2e948a9b49a6930fc190b22cbdb3571579d37a4de56564e41a2ef736767b | Chisel |
| 636e04f0618dd578d107f440b1cf6c910502d160130adae5e415b2dd2b36abcb | LocalOlive |
| 148.251.53[.]222 | Seashell Blizzard infrastructure |
| 89.149.200[.]91 | |
| 17738a27bb307b3cb7bd571934a398223e170842005f1725c46c7075f14e90fe | Seashell Blizzard infrastructure |
| cab97e837a3fc095bf59703574cbfa7e60fb10991101ba9bfc9bbf294c18fd97 | LocalOlive |
