AWS情报报告:GRU关联黑客是持续性基础设施攻击的幕后黑手
网络犯罪分子和国家背景的先进持续性威胁(APT)组织正越来越多地采用以隐秘性驱动、注重持久性的操作模式,这种模式更少依赖零日漏洞利用,而是更多地利用错误配置、凭证重放和受信任的基础设施。亚马逊威胁情报团队最近的披露凸显了俄罗斯国家支持的攻击者如何完善这些技术,以维持对关键系统的长期访问。
这一活动的核心是一场长达数年的网络间谍活动,被归因于俄罗斯总参谋部情报总局(GRU),特别是被追踪为APT44(也称为Sandworm、FROZENBARENTS、Seashell Blizzard和Voodoo Bear)的威胁组织。该活动在2021年至2025年间活跃,目标是西方能源供应商、关键基础设施运营商和云托管网络环境,表明这是一场持续的战略性努力,而非机会性入侵。
GRU网络行动背景 APT44有着与俄罗斯军事和地缘政治目标相一致的、长期的破坏性和间谍驱动网络活动历史。与"打了就跑"的勒索软件活动不同,GRU的行动强调:
- 长期持久性
- 凭证窃取和重用
- 离地攻击(Living-off-the-land)技术
- 滥用受信任的基础设施和网络设备
在此次活动中,AWS情报观察到攻击者明显不再频繁利用零日漏洞,而是将重点放在暴露于公共互联网的配置错误或防护薄弱的网络边缘设备上。
活动概述 此次与GRU相关的活动展示了攻击者为破坏支撑国家和地区稳定的组织所进行的有条不紊的努力。
主要目标
- 西方各国的能源部门组织
- 北美和欧洲的关键基础设施提供商
- 云托管网络环境,包括AWS托管的设备
主要特征
- 利用边缘设备上暴露的管理接口
- 通过原生数据包捕获功能进行凭证窃取
- 将窃取的凭证重放至云服务和企业的内部环境
- 通过避免使用易引起注意的漏洞利用来降低检测风险
漏洞详情
| 漏洞编号 | 受影响的厂商 | 受影响的设备/产品 | CVSS / EPSS 评分 |
|---|---|---|---|
| CVE-2022-26318 | WatchGuard | Firebox 和 XTM 网络安全设备 | CVSS: 9.8 (严重) / EPSS: 92.55% |
| CVE-2021-26084 | Atlassian | Confluence Server 和 Data Center | CVSS: 9.8 (严重) / EPSS: 94.46% |
| CVE-2023-22518 | Atlassian | Confluence Server 和 Data Center | CVSS: 9.8 (严重) / EPSS: 94.41% |
| CVE-2023-27532 | Veeam | Backup & Replication 软件 | CVSS: 7.5 (高危) / EPSS: 81.68% |
战术与技术
- TA0001 – 初始访问:通过配置错误的网络边缘设备利用面向公众的应用程序。
- TA0006 – 凭证窃取:从被截获的流量中窃取凭证。
- TA0008 – 横向移动:使用远程服务在网络内横向移动。
- TA0009 – 收集:从本地系统收集数据。
入侵指标
- 91.99.25[.]54
- 185.66.141[.]145
- 51.91.101[.]177
- 212.47.226[.]64
- 213.152.3[.]110
- 145.239.195[.]220
- 103.11.190[.]99
- 217.153.191[.]190
感染方法 初始访问 攻击者扫描云和企业环境中暴露在外的网络边缘设备,尤其是那些管理接口配置错误或防护薄弱的设备。GRU不再完全依赖零日漏洞利用,而是越来越多地滥用面向互联网的路由器、防火墙、VPN集中器和网络管理设备。在活动早期阶段,攻击者利用了常用基础设施软件中的已知漏洞来获取初始立足点。
漏洞利用 攻击者利用边缘设备和企业软件中的已知N-day漏洞和不安全配置,从而实现:
- 对设备管理接口的未授权访问
- 在网络设备上的权限提升
- 与流量处理组件的远程交互
载荷投递 攻击者没有部署大型自定义恶意软件载荷,而是利用了被入侵网络设备的原生功能。这最大限度地减少了取证痕迹,降低了被检测的可能性。与载荷相关的主要行为包括:
- 启用网络设备上内置的数据包捕获功能
- 拦截流经设备的身份验证流量
- 避免使用传统的磁盘恶意软件投放器
执行与持久性 执行的重点是凭证重放和可信访问路径,而不是安装持久性恶意软件。持久化机制包括:
- 持续访问被入侵的边缘设备
- 在被窃凭证在云服务和企业系统间重用
- 利用合法的管理会话和远程服务
这使得攻击者能够在不使用计划任务或注册表修改等传统持久性痕迹的情况下,维持长期访问。
命令与控制 命令与控制主要通过以下方式实现,而非传统的信标恶意软件:
- 网络设备的合法管理接口
- 使用重放凭证的已认证会话
- 与云托管服务和企业基础设施的交互
影响
- 边缘设备沦陷:利用网络边缘漏洞可以实现长期未授权访问,使攻击者能够在关键基础设施环境中建立持久立足点,而不会触发传统的端点防御。
- 凭证窃取与重放:被入侵的设备被用来收集身份验证材料,随后这些材料被重放至云和企业服务,以绕过边界控制并促进横向移动。
- 运营中断风险:滥用暴露的管理接口和未修补的企业软件为服务降级或中断创造了途径,对能源、公用事业和其他关键部门构成直接风险。
攻击流程可视化 初始访问 -> 漏洞利用 -> 无载荷凭证窃取 -> 凭证重放 -> 横向移动与长期持久化 (暴露的边缘设备/已知CVE) -> (设备配置错误或N-day漏洞) -> (数据包捕获) -> (针对云和企业服务) -> (通过合法访问)
缓解措施
- 审计边缘设备:定期检查网络边缘设备是否存在暴露的管理接口、异常的数据包捕获工具和配置错误。
- 实施强身份验证:消除默认凭证,在所有设备和账户上实施多因素身份验证。
- 监控凭证重放:审查身份验证日志,查找异常模式或来自意外位置的重复凭证使用情况。
- 强化网络访问:禁用公共管理访问,替换不安全的协议,并实施网络分段。
使用Saner补丁管理即时修复风险 Saner补丁管理是一个持续、自动化、集成的软件,可即时修复在野被利用的风险。该软件支持Windows、Linux和macOS等主流操作系统,以及550多种第三方应用程序。它还允许您建立一个安全的测试区域,在将补丁部署到主要生产环境之前进行测试。此外,Saner补丁管理还支持补丁回滚功能,以防补丁失败或系统故障。