【安全资讯】俄罗斯黑客Secret Blizzard在新间谍活动中劫持C2基础设施

概要：

近期，Lumen的Black Lotus Labs揭露了俄罗斯威胁组织Secret Blizzard（又称Turla）的一项复杂间谍活动。这一行动展示了他们劫持其他组织指挥控制（C2）基础设施的独特手法，使其能够在掩盖自身参与的同时收集敏感情报。自2019年以来，Secret Blizzard不断完善其渗透其他威胁组织的策略。

主要内容：

Secret Blizzard的最新活动历时两年，涉及对巴基斯坦组织Storm-0156运营的33个C2节点的入侵。报告指出，这是自2019年以来，Secret Blizzard第四次嵌入其他组织的操作。利用Storm-0156的基础设施，Secret Blizzard不仅部署了包括TwoDash和Statuezy在内的恶意软件，还利用这一访问权限从Storm-0156所侵入的网络中收集情报。

2023年4月，他们通过渗透Storm-0156操作员的工作站，获得了前所未有的工具、凭证和外泄数据的访问权限。Secret Blizzard的活动结合了自定义和借用的恶意软件，例如，TwoDash被用于渗透阿富汗政府网络并维持持久访问，而CrimsonRAT则被Secret Blizzard重新利用，以从印度政府和军事网络中收集情报。

Secret Blizzard的这一双重使用策略显示了其战术优势：借用现有恶意软件以规避检测和归属。尽管Storm-0156在针对阿富汗和印度的地区政府方面经验丰富，但其基础设施却成为了负担。Secret Blizzard的渗透如此彻底，以至于他们能够从Storm-0156的C2节点横向移动到操作员的工作站，进一步利用其他网络。这种劫持其他组织C2节点的策略使他们能够以最小的曝光风险进行操作，避免直接部署自己的工具，从而减少了足迹并复杂化了归属问题。