乌克兰雨刷器攻击背后的俄罗斯 APT“学员暴雪”

14 月 XNUMX 日，确定了在俄罗斯入侵乌克兰的过程中发挥关键作用的威胁行为者。去年 XNUMX 月至 XNUMX 月，“Cadet Blizzard”高级持续威胁 (APT) 活动达到顶峰，为俄罗斯入侵乌克兰铺平了道路。用于军事入侵。

Microsoft 详细介绍了该活动 博客文章。 APT 的行动中最引人注目的是破坏乌克兰政府网站的运动，以及 名为“WhisperGate”的擦拭器 其目的是使计算机系统完全无法运行。

这些攻击“是贝壳暴雪多波攻击的前奏”—— 另一个俄罗斯团体 ——“一个月后，俄罗斯军方开始地面进攻，”微软解释道。

微软将 Cadet Blizzard 与俄罗斯军事情报机构 GRU 联系起来。

Tanium 首席安全顾问蒂莫西·莫里斯 (Timothy Morris) 表示，识别 APT 是打击俄罗斯国家支持的网络犯罪的一步，“然而，更重要的是关注行为和策略、技术和程序 (TTP)，而不仅仅是关注行为和策略、技术和程序 (TTP)取决于谁在发动攻击。”

学员暴雪的行为和 TTP

一般来说，Cadet Blizzard 通过面向互联网的 Web 服务器中常见的漏洞（例如 MICROSOFT EXCHANGE 和 阿特拉斯融合。在破坏网络后，它会横向移动，收集凭据并升级权限，并使用 Web shell 建立持久性，然后再窃取敏感的组织数据或部署消灭性恶意软件。

微软解释说，该组织的最终目标一视同仁，旨在“使用任何可用的手段，有时甚至以随意的方式进行破坏、破坏和信息收集”。

但卡德特并不是万事通，而是一无所知。微软在谈到 APT 时写道：“也许这个攻击者最有趣的地方是，与 Seashell Blizzard [铱星、沙虫] 等其他 GRU 附属攻击者相比，其成功率相对较低。” 福雷斯特暴雪（APT28、Fancy Bear、Sofacy、Strontium]“。

例如，相比 归因于 Seashell Blizzard 的雨刷攻击微软解释说，尽管 Cadet 的 WhisperGate 受到了摧毁乌克兰对手网络的训练，但影响的系统数量少了一个数量级，影响也相对较小。 “最近的 Cadet Blizzard 网络行动虽然偶尔会成功，但同样未能达到 GRU 同行所实施的影响。”

考虑到所有这些，微软发现，黑客“似乎在操作安全性方面比长期存在的先进俄罗斯组织要低”，这一点也就不足为奇了。

Cadet Blizzard APT 有何期待

尽管 Cadet Blizzard 的运营重点是与乌克兰相关的事务，但其业务并不是特别集中。

除了部署其签名擦除器和破坏政府网站外，该组织还运营一个名为“Free Civilian”的黑客泄密论坛。除了乌克兰之外，它还袭击了欧洲、中亚甚至拉丁美洲其他地区的目标。除了政府机构外，它还经常针对 IT 服务提供商和软件供应链制造商，以及非政府组织、紧急服务和执法部门。

尽管他们在某些方面的运作可能更加混乱，但微软威胁情报战略总监 Sherrod DeGrippo 警告说，Cadet Blizzard 仍然是一个可怕的 APT。

“他们的目标是破坏，因此组织绝对需要像担心其他参与者一样担心他们，并采取主动措施，例如打开云保护、审查身份验证活动和 启用多重身份验证 (MFA) 以防止它们，”她说。

就莫里斯而言，他建议组织“从基础开始：强大的身份验证——MFA、

必要时使用 FIDO 密钥 ——实施最小特权原则；补丁，补丁，补丁；确保您的安全控制和工具存在且正常工作；并经常培训用户。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• EVM财务。 去中心化金融的统一接口。 访问这里。
• 量子传媒集团。 IR/PR 放大。 访问这里。
• 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
• Sumber: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks