FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

亚马逊威胁情报团队披露了俄罗斯国家支持的黑客组织在2021至2025年间针对西方关键基础设施实施的"长达数年"攻击行动的细节。该行动的目标包括西方国家的能源行业组织、北美和欧洲的关键基础设施提供商，以及拥有云托管网络基础设施的实体。经高度可信评估，该活动与GRU（俄罗斯总参谋部情报总局）关联的APT44组织有关，该组织也被称为FROZENBARENTS、Sandworm、Seashell Blizzard和Voodoo Bear。

攻击策略转变：从漏洞利用到配置错误

亚马逊指出，此次攻击活动的显著特点是利用配置错误的客户网络边缘设备暴露的管理接口作为初始攻击媒介，而N-day和0Day漏洞利用活动在此期间有所下降——这表明针对关键基础设施的攻击方式发生了转变。亚马逊综合安全首席信息安全官CJ·摩西表示："这种战术调整实现了相同的操作结果——凭证收集和横向移动到受害组织的在线服务和基础设施中，同时减少了攻击者的暴露风险和资源消耗。"

五年攻击时间线与利用漏洞

在五年期间，攻击被发现利用了以下漏洞和战术：

• 2021-2022年：利用WatchGuard Firebox和XTM漏洞（CVE-2022-26318）并针对配置错误的边缘网络设备
• 2022-2023年：利用Atlassian Confluence漏洞（CVE-2021-26084和CVE-2023-22518）并继续针对配置错误的边缘网络设备
• 2024年：利用Veeam漏洞（CVE-2023-27532）并继续针对配置错误的边缘网络设备
• 2025年：持续针对配置错误的边缘网络设备

攻击目标与凭证收集策略

根据亚马逊的说法，入侵活动专门针对企业路由器和路由基础设施、VPN集中器和远程访问网关、网络管理设备、协作和wiki平台，以及基于云的项目管理系统。考虑到攻击者有能力在网络边缘战略性地定位自己以拦截传输中的敏感信息，这些努力很可能是为了大规模收集凭证。遥测数据还发现了针对亚马逊网络服务（AWS）基础设施上托管的配置错误的客户网络边缘设备的协调尝试。

摩西表示："网络连接分析显示，攻击者控制的IP地址与运行客户网络设备软件的受损EC2实例建立了持久连接。分析显示，多个受影响实例上存在与交互式访问和数据检索一致的持久连接。"此外，亚马逊表示观察到针对受害组织在线服务的凭证重放攻击，作为试图在目标网络中建立更深层次立足点的一部分。虽然这些尝试被评估为不成功，但它们支持了上述假设，即攻击者正在从受损的客户网络基础设施中获取凭证以进行后续攻击。

完整攻击链分析

整个攻击过程如下：

• 入侵托管在AWS上的客户网络边缘设备
• 利用原生数据包捕获功能
• 从拦截的流量中收集凭证
• 针对受害组织的在线服务和基础设施重放凭证
• 建立持久访问以进行横向移动

凭证重放操作的目标是北美、西欧和东欧以及中东的能源、技术/云服务和电信服务提供商。摩西指出："攻击目标显示出对能源行业供应链的持续关注，包括直接运营商和能够访问关键基础设施网络的第三方服务提供商。"

与其他攻击组织的关联

有趣的是，该入侵活动还与Bitdefender以Curly COMrades名称追踪的另一个集群存在基础设施重叠，该集群自2023年底以来被认为与俄罗斯利益一致。这增加了两种可能性：这两个集群可能代表GRU在更广泛行动中开展的互补性操作。摩西表示："这种潜在的操作分工——一个集群专注于网络访问和初始入侵，另一个处理基于主机的持久性和规避——与GRU支持更广泛行动目标的专门子集群操作模式一致。"

亚马逊表示已识别并通知受影响的客户，并中断了针对其云服务的活跃攻击者操作。建议组织审核所有网络边缘设备是否存在意外的数据包捕获工具，实施强身份验证，监控来自意外地理位置的认证尝试，并密切关注凭证重放攻击。

参考来源：

Amazon Exposes Years-Long GRU Cyber Campaign Targeting Energy and Cloud Infrastructure

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）