详细内容或原文请订阅后点击阅览
俄罗斯秘密暴雪 APT 利用 Kazuar 后门瞄准乌克兰
与俄罗斯有关的 APT 组织 Secret Blizzard 正在使用 Amadey 恶意软件即服务通过 Kazuar 后门感染乌克兰的系统。与俄罗斯有关的 APT 组织 Secret Blizzard(又名 Turla、Snake、Uroburos、Waterbug、Venomous Bear 和 KRYPTON)被发现使用 Amadey 恶意软件在乌克兰的设备上部署 KazuarV2 后门。专家们观察到威胁行为者在 2024 年 3 月至 4 月期间使用 Amadey 机器人恶意软件。微软强调 […]
来源:Security Affairs _恶意软件俄罗斯的 Secret Blizzard APT 使用 Kazuar 后门针对乌克兰
俄罗斯的 Secret Blizzard APT 使用 Kazuar 后门针对乌克兰
Pierluigi Paganini Pierluigi Paganini 2024 年 12 月 12 日与俄罗斯有关的 APT 组织 Secret Blizzard 正在使用 Amadey 恶意软件即服务通过 Kazuar 后门感染乌克兰的系统。
与俄罗斯有关的 APT 组织 Secret Blizzard(又名 Turla、Snake、Uroburos、Waterbug、Venomous Bear 和 KRYPTON)被发现使用 Amadey 恶意软件在乌克兰的设备上部署 KazuarV2 后门。
秘密暴雪 Turla 蛇 Uroburos 水虫 毒熊 氪星 Amadey KazuarV2专家们在 2024 年 3 月至 4 月期间观察到威胁行为者使用 Amadey 机器人恶意软件。微软强调,该机器人与网络犯罪活动有关,并被攻击者用来渗透乌克兰军方使用的设备。
Storm-1919 经常通过 Amadey 机器人部署 XMRIG 加密货币矿工,该机器人于 2024 年在全球范围内使用。据微软称,Secret Blizzard 组织要么利用 Amadey 作为服务,要么访问其 C2 面板来提供包含编码的 Amadey 有效负载和指向其 C2 服务器的链接的 PowerShell 投放器。
这次行动至少是自 2022 年以来 Secret Blizzard 利用网络犯罪活动在乌克兰获得立足点以部署其后门的第二次行动。这种方法凸显了该组织将网络犯罪与有针对性的网络间谍活动相结合的战略。
分析 水坑 中间人 (AiTM) 活动 例如“行动调查活动系统”(SORMSecret Blizzard 通常使用鱼叉式网络钓鱼来获取初始访问权限,然后对服务器端和边缘设备进行攻击以进行横向移动。
http://vitantgroup[.]com/xmlrpc.php
cred64.dll
clip64.dll
procmap.exe
微软表示,它还检测到威胁行为者重新利用与俄罗斯一个名为 Flying Yeti(又名 Storm-1837 和 UAC-0149)的黑客组织相关的 PowerShell 后门来部署嵌入 PowerShell 植入程序Tavdig。
飞雪人 蛇