俄罗斯GRU网络攻击瞄准西方物流与科技公司技术分析

俄罗斯GRU针对西方物流实体和科技公司的网络攻击

执行摘要

这份联合网络安全公告重点介绍了俄罗斯国家支持的网络活动，该活动针对西方物流实体和科技公司，包括参与协调、运输和向乌克兰提供外国援助的实体。自2022年以来，西方物流实体和IT公司面临俄罗斯总参谋部主要情报局（GRU）85th GTsSS（军事单位26165）针对性攻击的风险升高。

这些攻击者的网络间谍活动针对科技公司和物流实体，使用了先前披露的战术、技术和程序（TTPs）的组合。作者机构预计类似的针对性和TTP使用将继续存在。

目标描述

GRU单位26165针对西方物流提供商和科技公司的网络活动已针对数十个实体，包括政府组织和私营/商业实体，涵盖几乎所有运输方式：空中、海上和铁路。这些攻击者针对北约成员国、乌克兰和国际组织内以下垂直领域的实体：

• 国防工业
• 运输和运输枢纽（港口、机场等）
• 海事
• 空中交通管理
• IT服务

在目标生命周期中，单位26165攻击者识别并进行了对运输部门中与主要目标有业务联系的其他实体的后续针对性攻击，利用信任关系试图获得额外访问。

初始访问TTPs

为了获得对目标实体的初始访问，单位26165攻击者使用了多种技术：

• 凭证猜测/暴力破解
• 针对凭证的鱼叉式网络钓鱼
• 传递恶意软件的鱼叉式网络钓鱼
• Outlook NTLM漏洞（CVE-2023-23397）
• Roundcube漏洞（CVE-2020-12641、CVE-2020-35730、CVE-2021-44026）
• 利用面向互联网的基础设施，包括企业VPN
• 利用WinRAR漏洞（CVE-2023-38831）

攻击后TTPs

在初始入侵后，单位26165攻击者进行联系信息侦察以识别关键位置的额外目标。他们使用本地命令和开源工具（如Impacket和PsExec）在环境中横向移动。

攻击者使用Certipy和ADExplorer.exe工具从Active Directory中渗出信息。他们还在受感染机器上安装Python以启用Certipy的执行。

恶意软件

单位26165在此活动中使用的恶意软件范围从获得初始访问到建立持久性和渗出数据。与此活动相关的已知恶意软件变体包括：

• HEADLACE
• MASEPIE

持久性

除了上述邮箱权限滥用外，单位26165攻击者还使用计划任务、运行键和在启动文件夹中放置恶意快捷方式来建立持久性。

渗出

GRU单位26165攻击者使用各种方法进行数据渗出，包括恶意软件和离地生存二进制文件。PowerShell命令通常用于准备要渗出的数据。

攻击者还使用服务器数据交换协议和API（如Exchange Web Services和IMAP）从邮件服务器渗出数据。

IP摄像头针对性攻击的连接

除了针对物流实体外，单位26165攻击者可能使用对关键位置（如边境口岸、军事设施和火车站附近）的私人摄像头的访问来跟踪材料进入乌克兰的移动。

缓解措施

一般安全缓解措施

架构和配置

• 采用适当的网络分段和限制来限制访问
• 考虑在设计系统时使用零信任原则
• 确保主机防火墙和网络安全设备配置为仅允许设备与服务器之间合法需要的数据流
• 使用自动化工具审计访问日志以查找安全问题
• 对于使用本地身份验证和电子邮件服务的组织，阻止并警报对外部基础设施的NTLM/SMB请求

身份和访问管理

• 使用具有强因素的多因素认证（MFA）
• 实施特权账户的其他缓解措施
• 按角色分离特权账户并警报特权账户的滥用
• 减少对密码的依赖；考虑使用单点登录服务

IP摄像头缓解措施

• 确保IP摄像头当前受支持
• 对所有IP摄像头应用安全补丁和固件更新
• 如果不需要，禁用对IP摄像头的远程访问
• 如果可能，确保摄像头受安全设备保护

危害指标（IOCs）

公告提供了详细的危害指标，包括：

• 实用程序和脚本
• 可疑命令行
• Outlook CVE利用IOCs
• 常用网络邮件提供商
• 涉及CVE-2023-38831的恶意存档文件名
• 暴力破解IP地址（2024年6月至8月）

检测规则

公告提供了多个YARA检测规则，包括：

• 自定义NTLM监听器检测
• HEADLACE快捷方式检测
• HEADLACE凭据对话框网络钓鱼检测
• HEADLACE核心脚本检测
• MASEPIE检测
• STEELHOOK检测
• PSEXEC检测

MITRE ATT&CK战术和技术

公告详细映射了攻击者的活动到MITRE ATT&CK框架，涵盖以下战术：

• 侦察
• 资源开发
• 初始访问
• 执行
• 持久性
• 防御规避
• 凭据访问
• 发现
• 命令和控制
• 横向移动
• 收集
• 渗出

利用的CVE

表15详细列出了被利用的CVE信息：

• CVE-2023-38831（WinRAR）
• CVE-2023-23397（Microsoft Outlook）
• CVE-2021-44026（Roundcube Webmail）
• CVE-2020-35730（Roundcube Webmail）
• CVE-2020-12641（Roundcube Webmail）

MITRE D3FEND对策

表16详细列出了MITRE D3FEND对策，包括：

• 网络隔离
• 访问调解
• 入站流量过滤
• 资源访问模式分析
• 出站流量过滤
• 平台监控
• 系统文件分析
• 应用程序强化
• 应用程序允许列表
• 执行隔离
• 多因素认证等