俄罗斯民族国家演员秘密暴雪有 加剧的 该组织在 2024 年针对乌克兰军事资产开展网络间谍活动。该组织与俄罗斯联邦安全局 (FSB) 有联系,有效利用了各个网络参与者的基础设施和工具。关键技术包括部署复杂的自定义恶意软件、进行战略性水坑攻击和鱼叉式网络钓鱼。
Secret Blizzard 使用定制恶意软件瞄准乌克兰军方
Secret Blizzard 的战略重点是利用与其他参与者相关的基础设施,例如 Storm-1919 和 Storm-1837。这种方法增强了对特定目标的访问,特别是军事人员和设备。通过设法使攻击媒介多样化,他们可以更有效地渗透关键系统。
该组织使用了多种不同的恶意软件工具,包括 Tavdig 后门和 KazuarV2 有效负载。这些工具旨在维持持久访问并收集情报。 Tavdig 后门主要部署在与乌克兰军队前线行动相关的高风险环境中。
Secret Blizzard 巧妙地在 2024 年 3 月和 4 月利用 Amadey 机器人分发他们的 Tavdig 后门。 Amadey 机器人通常用于加密货币挖矿,使该组织能够在目标设备中站稳脚跟。这次迭代(版本 4.18)拥有侦察功能,包括收集设备信息和通过各种插件收集凭据。
Secret Blizzard 进一步部署了一个自定义侦察工具,针对来自 STARLINK IP 地址的设备。该工具收集了关键数据,包括系统配置和目录。数据通过 RC4 加密协议传输到命令和控制 (C2) 服务器。
Lazarus Group 使用 RustyAttr 木马恶意软件瞄准 macOS
Secret Blizzard 使用的 KazuarV2 有效负载经常被注入可信进程中以确保隐秘性。通过部署 DLL 旁加载技术,它成功绕过了受害者采取的检测措施。同样,2023 年 12 月推出的 Storm-1837 后门允许该组织持续访问乌克兰无人机操作员的设备。
该部署包括利用 Telegram API 进行凭证文件共享平台连接,从而能够远程安装更多恶意负载。
鉴于这些复杂的攻击,敦促组织加强防御。建议包括通过 Microsoft Defender 的篡改保护和实时功能加强端点安全性。这应该通过实施网络保护来补充,包括监视 PowerShell 活动和限制未经授权的脚本。
要监控妥协指标 (IOC),跟踪特定域(例如 citropica.com 和 icw2016.coachfederation.cz)至关重要。定期查询可疑的 PowerShell 活动也应该是主动防御机制的一部分。
特色图片来源: 菲利普·卡森伯格/Unsplash