Technischer Support
Dokumentation
Anmeldung
Kontakt
Wie aus jüngsten Berichtenwurde eine mit Russland verbundene Advanced Persistent Threat (APT)-Gruppe bei einer Angriffskampagne beobachtet, die bisher nicht dokumentiert war. Turla, die russische APT, hat eine Angriffskampagne gestartet, die sich auf die Infiltrierung des Command-and-Control-Servers (C2) einer in Pakistan ansässigen Hackergruppe namens Strom-0156 konzentrierte.
In diesem Artikel befassen wir uns mit den Angriffstaktiken, Tools und Technologien der Bedrohungsakteure und mehr. Fangen wir an!
Russische APT Angriffe: Überblick
Die langjährigen bösartigen Aktivitäten der russischen APT wurden ursprünglich von Lumen's Black Lotus Labs identifiziert. Es ist erwähnenswert, dass die APT unter dem Namen "Geheimer Blizzard" oder "Turla". Die Forschungsorganisation für Cybersicherheit beobachtete eine Vielzahl von staatlich unterstützten Bedrohungsakteuren, die die C2-Server anderer Hackergruppen für ihre eigenen Initiativen ausnutzen.
Eine solche Strategie ermöglicht es der APT-Gruppe, an sensible Dateien heranzukommen, ohne dass eine Exfiltration aus kompromittierten Netzwerken, die Preisgabe ihrer eigenen Tools oder eine verzögerte Zurechnung erforderlich sind. In Bezug auf ein solches Angriffsszenario haben Experten erklärt dass:
"In Szenarien, in denen die anderen Bedrohungsakteure nicht alle interessanten Daten über ihre Ziele erfasst haben, können sie die auf C2-Knoten gesammelten Daten nach gestohlenen Authentifizierungsmaterialien durchsuchen, um sich Zugang zu verschaffen, oder sie können den bestehenden Zugang nutzen, um die Erfassung zu erweitern und ihre Agenten in einem Netzwerk einzusetzen. Auf diese Weise nutzt Secret Blizzard im Wesentlichen die vom ursprünglichen Bedrohungsakteur geschaffene Ausgangsposition aus.
Obwohl die von der russischen APT verwendete Technik der Datenerhebung russischen APT einzigartige Vorteile bietet, wäre ein Bedrohungsakteur darauf beschränkt, Daten zu sammeln oder nur auf die Netzwerke zuzugreifen, die vom C2-Knoten kontrolliert werden. Nach Angaben der Forschungsorganisation für Cyber-Bedrohungen:
"Secret Blizzard nutzte weiterhin Vertrauensbeziehungen aus, indem er von den C2-Knoten eines Akteurs auf die Workstations des Betreibers gelangte. Wir glauben, dass nationalstaatliche und cyberkriminelle Endpunkte und Malware besonders anfällig für die Ausnutzung sind, da sie nicht in der Lage sind, moderne Sicherheitsstacks für die Überwachung des Zugriffs und den Schutz vor Ausbeutung zu verwenden."
Sie weist darauf hin, dass, wenn die Bedrohungsakteure die Sicherheitsprotokolle installiert haben, ihre Angriffe und Tools aufgedeckt wurden. Derzeit wird davon ausgegangen, dass Hacker wie die APT die Protokolldaten aktiv löschen, um die Aufdeckung zu verhindern.
Storm-0156 Server und geheime Blizzard-Angriffstaktiken
Was die Details der Angriffe betrifft, so wird angenommen, dass die russische APT ihr Vertrauen in Storm-0156 manipuliert hat. Auf diese Weise konnten sie in die Arbeitsstationen pakistanischer Computernetzbetreiber eindringen und Daten von diesen Knotenpunkten stehlen. Darüber hinaus wurde diese Taktik auch für Waiscot und CrimsonRAT verwendet.
Die russische APT verwendete diese Malware später, um mit in Indien ansässigen Netzwerken zu interagieren. Es ist erwähnenswert, dass dieser Bedrohungsakteur. Es ist erwähnenswert, dass dieser Bedrohungsakteur eine Reihe von Open-Source-Tools verwendet, darunter AllaKore und benutzerdefinierte Fernzugriffstrojaner. Was Storm-0156 betrifft, so haben die Bedrohungsakteure ihre Tools für verschiedene Betriebssysteme angepasst.
An den Taktiken, Techniken und Verfahren (TTPs) hat sich jedoch nichts geändert. Es ist erwähnenswert, dass Storm-0156 in erster Linie regionale Regierungsorganisationen ins Visier nimmt und sich dabei auf Indien und Afghanistan konzentriert. Einige der wichtigsten Einrichtungen, die die Gruppe ins Visier genommen hat, stammen aus verschiedenen Bereichen, darunter:
- Regierung.
- Technologie.
- Industrielle Kontrollsysteme.
- Stromerzeugung und -verteilung.
Einblicke in die russische APT Zugang zu den C2-Servern des pakistanischen Sturms-0156 verschafft hat, haben Experten erklärt, dass:
"Bei der Überwachung der Storm-0156-Kampagnen haben wir 11 C2-Knoten aufgedeckt, die von Dezember 2022 bis Mitte 2023 aktiv waren. Black Lotus Labs beobachtete Malware-Samples oder öffentliche Berichte für 8 der 11 Knoten. Eine genauere Analyse ergab, dass diese 11 alle mit drei neu identifizierten VPS-IP-Adressen kommunizierten."
Einer der auffälligsten Aspekte der VPS war die Tatsache, dass sie über einen Anbieter gelasert worden waren, der zuvor noch nie bei Storm-0156-Kampagnen in Erscheinung getreten war. Das MSTIC bestätigte auch, dass die drei Knotenpunkte tatsächlich mit der russischen APT Gruppe, Secret Blizzard, in Verbindung stehen. Von Dezember 2022 bis August 2023 wurde die russische APT die folgenden IP-Adressen verwendet:
- 146.70.158[.]90
- 162.213.195[.]129
- 146.70.81[.]81
Zum Kommentar über die russischen APT Gruppe, die diese drei Knotenpunkte nutzt, haben Experten erklärt, dass:
"Obwohl wir nicht sicher sein können, wie Secret Blizzard die verbleibenden drei Knoten identifiziert hat, die nicht mit öffentlichen Malware-Samples oder Berichten übereinstimmen, vermuten wir, dass sie eine Methode des Remote Desktop Protocol (RDP) verwendet haben könnten, die hier von Team Cymru beschrieben wurde."
Nachfolgend finden Sie eine Liste der IP-Adressen, die zu Strom-0156 gehören, und die Dauer ihrer Interaktion mit dem russischen APT:
| Daten | IP-Adresse |
| 11.12.2022 - 7.10.2024 | 154.53.42[.]194 |
| 12. Dezember 2022 - 9. Juli 2023 | 66.219.22[.]252 |
| 27. Dezember 2022 - 9. August 2023 | 66.219.22[.]102 |
| 28.12.2022 - 2.3.2023 | 144.126.152[.]205 |
| 31. Januar - 14. März 2023 | 185.229.119[.]60 |
| 22. Februar - 21. August 2023 | 164.68.108[.]153 |
| 27. Februar - 22. März 2023 | 209.126.6[.]227 |
| 30. April - 4. Juli 2023 | 209.126.81[.]42 |
| 5. Mai - 22. August 2023 | 209.126.7[.]8 |
| April 12 - Aug 23, 2023 | 154.38.160[.]218 |
| Juni 23 - Aug 21, 2023 | 144.126.154[.]84 |
Bösartige Tools in afghanische Regierungsnetzwerke eingeschleust
Abgesehen von den IP-Adressen haben Experten erwähnt, dass bei der Überwachung der Interaktion zwischen der russischen APT Gruppe und den Storm-0156-Knotenpunkten auch Aktivitäten aus afghanischen Regierungsnetzen festgestellt wurden. Angesichts der Häufigkeit der Aktivitäten haben die Experten festgestellt, dass die russische APT Gruppe wahrscheinlich den Zugang zu den C2-Servern für die Verbreitung der Two-Dash-Malware nutzte.
Die Kommunikation im Zusammenhang mit der Angriffssequenz wurde von mehreren IP-Adressen beobachtet, die in Afghanistan ansässig waren. Aus der Dauer und dem Volumen der übertragenen Daten lässt sich schließen, dass die afghanischen IP-Adressen nur eine Woche lang Beaconing-Aktivität zeigten. Dies deutet darauf hin, dass der Bedrohungsakteur absichtlich keinen langfristigen Zugang aufrechterhalten will. Zu den drei Adressen, die von größerem Interesse zu sein schienen, gehörten jedoch:
- 146.70.158[.]90 - stand mit sechs IP-Adressen in Verbindung und war vom 23. Januar 2023 bis zum 4. September 2023 aktiv.
- 162.213.195[.]129 - wurde für die Kommunikation mit fünf IP-Adressen verwendet und war vom 29. Dezember 2022 bis zum 4. September 2023 aktiv.
- 167.88.183[.]238 - hauptsächlich für die Übertragung an nur eine IP-Adresse verwendet, die am 17. April 2023 stattfand.
Darüber hinaus wurde festgestellt, dass von Mai bis Oktober 2024 die Verbindungen von afghanischen Regierungsnetzwerken unverändert blieben. Ein bemerkenswerter Unterschied war jedoch, dass der C2 von der Ausrichtung auf Storm-0156-Infektionen zu 143.198.73[.]108 gewechselt hatte.
Es ist erwähnenswert, dass die wichtigste Aktivität, die identifiziert wurde, die Verwendung der Two-Dash-Malware war. Dies zeigte sich nicht nur an den Storm-0156 C2-Knoten in Afghanistan, sondern auch an einer dynamischen IP-Adresse, die ihren Ursprung in Pakistan hatte. Experten gaben Einblicke in die Nutzung des C2-Panels und erklärten, dass:
"Wir vermuten, dass sie sich Zugang zum C2-Panel von Storm-0156 verschafft und dann eine Vertrauensbeziehung missbraucht haben, um seitlich in die Workstation des Storm-0156-Betreibers einzudringen. Dadurch konnten sie auf weitere Netzwerke zugreifen, die zuvor von Storm-0156 kompromittiert worden waren, darunter auch andere Regierungsstellen im Nahen Osten."
Bislang ist unklar, ob eine nachgelagerte Bewegung zur Kompromittierung der anvisierten Opfer initiiert wurde oder ob die von Storm-0156 geschaffenen Erreger verwendet wurden.
Schlussfolgerung
Die Angriffskampagne des russischen APT Gruppe, Secret Blizzard, verdeutlicht die Raffinesse moderner Cyberspionagetaktiken. Indem sie Vertrauen ausnutzte und sich Zugang zu den C2-Servern von Storm-0156 verschaffte, demonstrierte die Gruppe einen strategischen Ansatz zur Infiltration sensibler Netzwerke. Mit Werkzeugen wie Two-Dash-Malware und gezielten seitlichen Bewegungen unterstreichen ihre Operationen die Notwendigkeit von verstärkte Cybersicherheitsmaßnahmen zum Schutz vor nationalstaatlichen Bedrohungen und den Schwachstellen, die durch die Ausnutzung des Vertrauens zwischen Gruppen entstehen.
Die Quellen für diesen Artikel sind unter anderem Artikel in Die Hacker-Nachrichten und Lumen.
