Amazon 威脅情報團隊近日揭露一起由俄羅斯主導的長期網路攻擊行動,時間橫跨 2021 年至 2025 年,主要目標為西方國家的關鍵基礎設施。該攻擊行動被高度懷疑由俄羅斯總參謀部情報總局(GRU)所發動。
攻擊者與 APT44 組織有基礎設施重疊,該組織也被稱為 FROZENBARENTS、Sandworm、Seashell Blizzard 和 Voodoo Bear。
攻擊目標包括西方國家的能源業者、北美與歐洲的關鍵基礎設施供應商,以及使用雲端代管網路基礎設施的組織。值得注意的是,攻擊手法從早期利用 N-day 和零時差漏洞,逐漸轉向針對設定錯誤、管理介面對外開放的客戶網路邊緣裝置。
Amazon 整合安全部門資安長 CJ Moses 表示,這種戰術調整讓攻擊者能達成相同目標(包括竊取憑證和橫向移動至受害組織的線上服務與基礎設施),同時降低曝光風險與資源消耗。
五年攻擊手法演變
這起攻擊行動在不同時期採用不同的手法:
- 2021 至 2022 年:攻擊者利用 WatchGuard Firebox 和 XTM 的漏洞(CVE-2022-26318),並同時針對設定錯誤的邊緣網路裝置進行攻擊
- 2022 至 2023 年:轉向利用 Atlassian Confluence 的多個漏洞(CVE-2021-26084 和 CVE-2023-22518),持續鎖定設定錯誤的邊緣網路裝置
- 2024 年:利用 Veeam 的漏洞(CVE-2023-27532),持續針對設定錯誤的邊緣網路裝置
- 2025 年:幾乎完全專注於針對設定錯誤的邊緣網路裝置進行攻擊
攻擊目標包括企業路由器與路由基礎設施、VPN 集中器(VPN concentrators)與遠端存取閘道、網路管理設備、協作與維基平台,以及雲端專案管理系統。
攻擊者將自己定位在網路邊緣的策略位置,藉此攔截傳輸中的敏感資訊,以便大規模竊取憑證。
針對AWS基礎設施的攻擊
遙測資料顯示,攻擊者針對託管在 Amazon Web Services(AWS)基礎設施上、設定錯誤的客戶網路邊緣裝置進行協同攻擊。網路連線分析發現,攻擊者控制的 IP 位址與執行客戶網路設備軟體的受感染 EC2 執行個體建立持續連線。這些連線的特徵符合互動式存取和跨多個受影響執行個體的資料擷取行為。
Amazon 也觀察到攻擊者對受害組織的線上服務發動憑證重放攻擊(credential replay attacks),企圖在目標網路中取得更深入的立足點。雖然這些嘗試被評估為不成功,但這證實了攻擊者正從受感染的客戶網路基礎設施中竊取憑證,用於後續攻擊。
完整的攻擊流程包括:
入侵託管在AWS上的客戶網路邊緣裝置、
利用原生封包擷取功能、
從攔截的流量中收集憑證、
對受害組織的線上服務與基礎設施重放憑證,最後
建立持續性存取以進行橫向移動。
憑證重放攻擊的目標遍及北美、西歐、東歐和中東地區的能源、科技雲端服務和電信服務供應商。這些攻擊展現出對能源產業供應鏈的持續關注,包括直接營運商和擁有關鍵基礎設施網路存取權限的第三方服務供應商。
與Curly COMrades的關聯
值得注意的是,這起攻擊行動與 Bitdefender 追蹤的另一個攻擊集團 Curly COMrades 共用基礎設施(
IP 位址 91.99.25[.]54)。Curly COMrades 自 2023 年底以來被認為為俄羅斯利益服務,顯示兩個攻擊集團可能在 GRU 更廣泛的行動中執行互補任務。
Moses 指出,這種潛在的分工模式符合 GRU 的作業模式:
一個集群專注於網路存取和初始入侵,另一個處理主機持續性和規避,由專業化子集群共同支援更廣泛的行動目標。
Amazon 表示已識別並通知受影響的客戶,同時中斷了針對其雲端服務的威脅行為者活動。然而,該公司並未透露此行動中記錄到的攻擊次數,也未說明自 2021 年首波攻擊以來攻擊頻率是否有所變化。
防護建議
Amazon 建議組織採取以下防護措施:
- 稽核所有網路邊緣裝置,檢查是否存在非預期的封包擷取工具
- 實施強式身分驗證機制
- 監控來自非預期地理位置的登入嘗試
- 持續關注憑證重放攻擊
本文轉載自 TheHackerNews。