俄罗斯GRU网络攻击瞄准西方物流与科技公司技术分析

本文详细分析了俄罗斯GRU 85th GTsSS部队针对西方物流实体和科技公司的网络间谍活动,涵盖初始访问技术、恶意软件部署、横向移动策略以及IP摄像头监控等关键技术细节。

俄罗斯GRU瞄准西方物流实体和科技公司 | CISA

执行摘要

这份联合网络安全公告重点介绍了俄罗斯国家支持的网络攻击活动,目标针对西方物流实体和科技公司,包括参与协调、运输和向乌克兰提供外国援助的实体。自2022年以来,西方物流实体和IT公司面临俄罗斯总参谋部情报总局85th GTsSS部队的针对性攻击风险升高。

该攻击者的网络间谍活动针对科技公司和物流实体,使用了多种先前披露的战术、技术和程序。作者机构预计类似的瞄准和TTP使用将继续进行。

目标描述

GRU部队26165针对西方物流提供商和科技公司的网络活动已瞄准数十个实体,包括政府组织和私营/商业实体,涵盖几乎所有运输方式:空运、海运和铁路。这些攻击者瞄准了北约成员国、乌克兰和国际组织中以下垂直领域的实体:

  • 国防工业
  • 运输和运输枢纽(港口、机场等)
  • 海事
  • 空中交通管理
  • IT服务

在瞄准生命周期中,部队26165识别并进行了对运输部门中与主要目标有业务联系的其他实体的后续瞄准,利用信任关系试图获得额外访问。

初始访问TTP

为了获得对目标实体的初始访问,部队26165使用了多种技术:

  • 凭据猜测/暴力破解
  • 针对凭据的鱼叉式网络钓鱼
  • 传递恶意软件的鱼叉式网络钓鱼
  • Outlook NTLM漏洞(CVE-2023-23397)
  • Roundcube漏洞(CVE-2020-12641、CVE-2020-35730、CVE-2021-44026)
  • 利用面向互联网的基础设施,包括企业VPN
  • 利用WinRAR漏洞(CVE-2023-38831)

鱼叉式网络钓鱼技术

GRU部队26165的鱼叉式网络钓鱼电子邮件包含指向假冒各种政府实体和西方云电子邮件提供商网页的虚假登录页面的链接。这些网页通常托管在免费的第三方服务或受损的SOHO设备上,并经常使用与主题相似实体相关的合法文档作为诱饵。

CVE利用

在整个活动中,GRU部队26165武器化了Outlook NTLM漏洞来通过特制的Outlook日历约会邀请收集NTLM哈希和凭据。这些攻击者还使用了一系列Roundcube CVE来执行任意shell命令,获取受害者电子邮件帐户的访问权限,并从电子邮件服务器检索敏感数据。

入侵后TTP

在初始入侵后,部队26165进行了联系人信息侦察以识别关键位置的额外目标。攻击者使用本地命令和开源工具在环境中横向移动,包括Impacket和PsExec。

攻击者还使用Certipy和ADExplorer.exe工具从Active Directory中提取信息。在提取之前,访问的文件被归档为.zip文件。

恶意软件

部队26165在此活动中使用的恶意软件范围从获得初始访问到建立持久性和提取数据。与此活动相关的已知恶意软件变体包括:

  • HEADLACE
  • MASEPIE

持久性技术

除了上述邮箱权限滥用外,部队26165还使用计划任务、运行键和在启动文件夹中放置恶意快捷方式来建立持久性。

数据提取方法

GRU部队26165使用了多种数据提取方法,包括恶意软件和离地攻击二进制文件。PowerShell命令通常用于准备要提取的数据;例如,攻击者准备zip档案以上传到自己的基础设施。

IP摄像头瞄准连接

除了瞄准物流实体外,部队26165可能使用对关键位置私人摄像头的访问来跟踪材料进入乌克兰的移动。攻击者还使用合法的市政服务,如交通摄像头。

攻击者最早在2022年3月针对托管IP摄像头的实时流协议服务器进行了大规模活动,包括尝试枚举设备和获取摄像头馈送的访问权限。

缓解措施

一般安全缓解

  • 采用适当的网络分段和限制
  • 考虑在设计系统时使用零信任原则
  • 确保主机防火墙和网络安全设备配置为仅允许合法需要的数据流
  • 使用自动化工具审计访问日志以查找安全问题
  • 在所有系统上使用端点检测和响应解决方案

IP摄像头缓解

  • 确保IP摄像头当前受支持
  • 应用安全补丁和固件更新
  • 如不必要,禁用对IP摄像头的远程访问
  • 确保摄像头受安全设备保护
  • 如果支持,仅启用经过身份验证的RTSP访问

妥协指标

该公告提供了详细的妥协指标,包括:

  • 实用程序和脚本
  • 可疑命令行
  • Outlook CVE利用IOC
  • 常用的网络邮件提供商
  • 涉及CVE-2023-38831的恶意存档文件名
  • 暴力破解IP地址

检测规则

公告包含了多个YARA检测规则,用于检测:

  • 自定义NTLM监听器
  • HEADLACE快捷方式
  • HEADLACE凭据对话框网络钓鱼
  • HEADLACE核心脚本
  • MASEPIE
  • STEELHOOK
  • PSEXEC

MITRE ATT&CK映射

该公告将威胁行为者活动映射到MITRE ATT&CK框架,涵盖从侦察到提取的所有战术阶段。

exploited CVE

公告详细列出了被利用的CVE,包括:

  • CVE-2023-38831(WinRAR)
  • CVE-2023-23397(Microsoft Outlook)
  • CVE-2021-44026、CVE-2020-35730、CVE-2020-12641(Roundcube Webmail)

MITRE D3FEND对策

公告提供了详细的MITRE D3FEND对策映射,帮助组织防御这些攻击技术。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次