俄罗斯GRU网络攻击瞄准西方物流与科技企业技术分析

本文详细分析了俄罗斯GRU 85th GTsSS部队针对西方物流实体和科技公司的网络间谍活动,涵盖初始访问技术、恶意软件、横向移动、数据窃取等完整攻击链,并提供了具体缓解措施和入侵指标。

俄罗斯GRU针对西方物流实体和科技公司的网络攻击

执行摘要

这份联合网络安全公告重点介绍了俄罗斯国家支持的网络攻击活动,目标为西方物流实体和科技公司,包括参与向乌克兰协调、运输和交付外国援助的实体。自2022年以来,西方物流实体和IT公司面临俄罗斯总参谋部情报总局85th GTsSS部队的针对性攻击风险升高。

攻击者的网络间谍活动针对科技公司和物流实体,使用了多种先前披露的战术、技术和程序。作者机构预计类似的定向攻击和TTP使用将持续。

攻击目标描述

GRU部队针对西方物流提供商和科技公司的网络攻击活动已针对数十个实体,包括政府组织和私营/商业实体,涵盖几乎所有运输方式:空运、海运和铁路。这些攻击者针对北约成员国、乌克兰和国际组织内以下垂直领域的实体:

  • 国防工业
  • 交通运输和交通枢纽
  • 海事
  • 空中交通管理
  • IT服务

初始访问TTP

凭证猜测/暴力破解

攻击者使用Tor和商业VPN等匿名化基础设施,频繁轮换IP地址,所有观察到的连接均通过加密TLS进行。

鱼叉式网络钓鱼

GRU部队的鱼叉式网络钓鱼邮件包含指向假冒各种政府实体和西方云电子邮件提供商网页的虚假登录页面链接。这些网页通常托管在免费的第三方服务或受感染的SOHO设备上。

CVE利用

  • Outlook NTLM漏洞:利用CVE-2023-23397通过特制的Outlook日历约会邀请收集NTLM哈希和凭证
  • Roundcube漏洞:利用CVE-2020-12641、CVE-2020-35730和CVE-2021-44026执行任意shell命令
  • WinRAR漏洞:利用CVE-2023-38831执行嵌入在存档中的任意代码

入侵后TTP

横向移动

攻击者使用本地命令和开源工具在环境中横向移动,包括:

  • Impacket和PsExec
  • 远程桌面协议
  • 使用ntdsutil.exe转储Active Directory NTDS.dit域数据库

数据收集

攻击者追求访问包含运往乌克兰援助物资信息的账户,包括:

  • 发件人和收件人
  • 火车/飞机/船舶编号
  • 出发点和目的地
  • 集装箱注册号
  • 旅行路线和货物内容

持久化

除了滥用邮箱权限外,攻击者还使用:

  • 计划任务
  • 运行密钥
  • 启动文件夹中的恶意快捷方式

恶意软件

活动中使用的恶意软件变体包括:

  • HEADLACE
  • MASEPIE

其他可能部署的恶意软件包括OCEANMAP和STEELHOOK。

数据窃取

GRU部队使用多种方法进行数据窃取:

  • 使用PowerShell命令准备数据
  • 使用Exchange Web Services和IMAP从邮件服务器窃取数据
  • 使用地理位置上接近受害者的基础设施

IP摄像头攻击

攻击者可能使用关键位置私人摄像头的访问权限来跟踪进入乌克兰的物资移动。他们针对主要位于乌克兰的RTSP服务器托管IP摄像头,发送包含Base64编码凭证的RTSP DESCRIBE请求。

缓解措施

一般安全缓解

  • 实施适当的网络分割
  • 考虑零信任原则设计系统
  • 使用EDR和其他网络安全解决方案
  • 启用Windows可选安全功能
  • 实施应用程序和脚本允许列表

身份和访问管理

  • 使用具有强因子的MFA
  • 限制管理员账户数量
  • 分离特权账户角色
  • 减少对密码的依赖
  • 不要将密码存储在组策略首选项中

IP摄像头缓解

  • 确保IP摄像头当前受支持
  • 应用安全补丁和固件更新
  • 禁用不必要的远程访问
  • 使用防火墙保护摄像头
  • 禁用UPnP、P2P和匿名访问功能

入侵指标

实用程序和脚本

  • ntdsutil、wevtutil、vssadmin等合法Windows可执行文件
  • Certipy、Get-GPPPassword.py等开源Python工具

恶意存档文件名

  • calc.war.zip
  • news_week_6.zip
  • Roadmap.zip

暴力破解IP地址

文档提供了2024年6月至8月期间使用的具体IP地址列表。

检测规则

文档包含多个YARA检测规则,用于检测:

  • 自定义NTLM监听器
  • HEADLACE快捷方式
  • HEADLACE凭据对话框钓鱼
  • MASEPIE和STEELHOOK恶意软件
  • PSEXEC使用

MITRE ATT&CK映射

攻击活动映射到MITRE ATT&CK框架的多个战术和技术,包括:

  • 侦察
  • 资源开发
  • 初始访问
  • 执行
  • 持久化
  • 防御规避
  • 凭据访问
  • 发现
  • 命令与控制
  • 横向移动
  • 收集
  • 数据窃取

exploited CVE

  • CVE-2023-38831:WinRAR漏洞
  • CVE-2023-23397:Outlook NTLM漏洞
  • CVE-2021-44026:Roundcube SQL注入
  • CVE-2020-35730:Roundcube XSS
  • CVE-2020-12641:Roundcube命令执行
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次