俄罗斯GRU网络攻击瞄准西方物流与科技公司技术分析

本文详细分析了俄罗斯GRU 85th GTsSS部队针对西方物流实体和科技公司的网络间谍活动,包括初始访问技术、恶意软件使用、横向移动方法和防御缓解措施,涉及CVE漏洞利用和MITRE ATT&CK框架映射。

俄罗斯GRU瞄准西方物流实体和科技公司 | CISA

执行摘要

本联合网络安全公告重点介绍了俄罗斯国家支持的网络活动,该活动针对西方物流实体和科技公司,包括参与向乌克兰协调、运输和交付外国援助的实体。自2022年以来,西方物流实体和IT公司面临俄罗斯总参谋部情报总局85th GTsSS部队(军事单位26165)攻击的风险升高。

这些攻击者的网络间谍活动针对科技公司和物流实体,使用了先前披露的战术、技术和程序的混合。作者机构预计类似的目标定位和TTP使用将继续进行。

目标描述

GRU部队26165针对西方物流提供商和科技公司的网络活动已针对数十个实体,包括政府组织和私营/商业实体,涵盖几乎所有运输方式:空运、海运和铁路。这些攻击者针对北约成员国、乌克兰和国际组织内以下垂直领域的实体:

  • 国防工业
  • 运输和运输枢纽(港口、机场等)
  • 海事
  • 空中交通管理
  • IT服务

初始访问TTP

凭证猜测/暴力破解

攻击者使用Tor和商业VPN等匿名基础设施,频繁轮换使用的IP地址,所有观察到的连接都通过加密TLS进行。

鱼叉式网络钓鱼

GRU部队26165的鱼叉式网络钓鱼邮件包含指向假冒各种政府实体和西方云电子邮件提供商网页的虚假登录页面的链接。这些网页通常托管在免费的第三方服务或受感染的SOHO设备上。

CVE利用

在整个活动中,GRU部队26165武器化了以下漏洞:

  • CVE-2023-23397:Outlook NTLM漏洞,通过特制的Outlook日历约会邀请收集NTLM哈希和凭证
  • Roundcube漏洞:CVE-2020-12641、CVE-2020-35730和CVE-2021-44026,用于执行任意shell命令
  • CVE-2023-38831:WinRAR漏洞,允许执行嵌入在存档中的任意代码

入侵后TTP

横向移动

攻击者使用本地命令和开源工具(如Impacket和PsExec)在环境中横向移动。还使用远程桌面协议访问其他主机,并尝试使用本地Active Directory域服务命令转储Active Directory NTDS.dit域数据库。

数据外泄

GRU部队26165使用多种方法进行数据外泄,包括:

  • 使用PowerShell命令准备数据用于外泄
  • 使用服务器数据交换协议和API(如Exchange Web Services和IMAP)从邮件服务器外泄数据
  • 使用地理位置靠近受害者的基础设施

持久化

除了上述邮箱权限滥用外,攻击者还使用计划任务、运行键和在启动文件夹中放置恶意快捷方式来建立持久性。

恶意软件

活动中使用的恶意软件变体包括:

  • HEADLACE
  • MASEPIE

其他恶意软件变体如OCEANMAP和STEELHOOK也可能在需要时部署。

IP摄像头目标定位

除了针对物流实体外,部队26165可能使用关键位置(如边境口岸、军事设施和火车站附近)的私人摄像头访问权限来跟踪物资进入乌克兰的移动。攻击者还使用合法的市政服务,如交通摄像头。

缓解措施

一般安全缓解

  • 采用适当的网络分割和限制
  • 考虑零信任原则设计系统
  • 使用端点检测和响应解决方案
  • 启用Windows可选安全功能
  • 实施应用程序和脚本的允许列表

身份和访问管理

  • 使用具有强因子的多因素认证
  • 实施特权账户的其他缓解措施
  • 减少对密码的依赖
  • 更改所有默认凭证

IP摄像头缓解

  • 确保IP摄像头当前受支持
  • 应用安全补丁和固件更新
  • 禁用不必要的远程访问
  • 使用防火墙保护摄像头

入侵指标

实用程序和脚本

攻击者使用的合法实用程序包括:

  • ntdsutil
  • wevtutil
  • ADexplorer
  • OpenSSH
  • Impacket工具

恶意脚本

  • Certipy
  • Get-GPPPassword.py
  • ldap-dump.py

CVE利用IOC

包括与CVE-2023-23397和CVE-2023-38831相关的特定电子邮件地址和IP地址。

检测规则

公告提供了多个YARA检测规则,包括:

  • APT28_NTLM_LISTENER
  • APT28_HEADLACE_SHORTCUT
  • APT28_MASEPIE
  • APT28_STEELHOOK
  • GENERIC_PSEXEC

MITRE ATT&CK映射

活动映射到MITRE ATT&CK框架的多个战术和技术,包括:

  • 侦察:TA0043、T1589.002、T1591
  • 初始访问:T1566、T1133、T1190
  • 执行:T1059、T1053.005
  • 持久化:T1098.002、T1574.001
  • 凭证访问:T1110、T1003.003
  • 发现:T1087.002
  • 横向移动:TA0008、T1021.001
  • 收集:T1114、T1560
  • 命令与控制:T1090、T1573
  • 外泄:T1048、T1029

MITRE D3FEND对策

公告还提供了针对这些技术的MITRE D3FEND对策映射,包括网络隔离、访问调解、入站流量过滤和其他防御措施。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次