这篇文章介绍了微软披露的BadPilot网络攻击活动,该活动由俄罗斯黑客组织Seashell Blizzard的一个小组发起。自2021年起,该小组针对全球关键基础设施展开攻击,利用多种漏洞和工具获取持久访问权限,并支持特定网络行动。微软警告称该活动可能持续发展以支持俄罗斯的战略目标,并建议采取措施加强防御能力。 2025-2-13 11:30:49 Author: www.securityinfo.it(查看原文) 阅读量:5 收藏
Microsoft rivela BadPilot, una campagna pluriennale di Seashell Blizzard di impatto globale
Feb 13, 2025 Approfondimenti, Attacchi, Attacchi, Hacking, In evidenza, Minacce, News, RSS
Ieri Microsoft ha pubblicato un’approfondita analisi su BadPilot, una campagna pluriennale a opera di un sottogruppo di Seashell Blizzard, nota gang hacker di matrice russa.
“Questo sottogruppo ha eseguito compromissioni differenti a livello globale ai danni di infrastrutture esposte su Internet per permettere a Seashell Blizzard di ottenere la persistenza su obiettivi ad alto valore e supportare operazioni di rete ad hoc” si legge nel report di Microsoft Threat Intelligence.
Anche se le attività del sottogruppo sono in parte opportunistiche, è indubbio che forniscono a Seashell Blizzard e al governo russo nuove opportunità per attaccare i propri obiettivi. Secondo i ricercatori di Microsoft, le operazioni di BadPilot hanno probabilmente permesso l’esecuzione di almeno tre cyberattacchi contro l’Ucraina a partire dal 2023.
Le attività del sottogruppo di Seashell Blizzard
Il team di Threat Intelligence di Microsoft spiega che gli attaccanti dietro BadPilot agiscono per scalare le operazioni di Seashell Blizzard e ottenere persistenza su nuovi obiettivi, in base al settore di interesse per il governo russo. Inizialmente concentrate solo sull’Ucraina, le attività si sono progressivamente globalizzate man mano che gli equilibri del conflitto evolvevano.
Per ottenere l’accesso iniziale, il gruppo ha sfruttato vulnerabilità delle infrastrutture esposte al web individuate tramite appositi strumenti di scansione di terze parti. Secondo i ricercatori di Microsoft, gli hacker hanno utilizzato almeno otto vulnerabilità presenti in diversi prodotti quali, tra gli altri, Exchange, Outlook, JBOSS e TeamCity di JetBrains.
In caso di successo, il gruppo ha eseguito una serie di misure per ottenere persistenza a lungo termine sui sistemi, sia per scopi di cyberspionaggio che per eseguire attacchi mirati e distruttivi.
Il sottogruppo ha usato diversi pattern per gli exploit. Uno dei più recenti comprende l’uso delle suite RMM (Remote Monitoring and Management), usate solitamente dagli MSP per il monitoraggio remoto dei sistema. Il gruppo ha usato software come Atera Agent e Splashtop Remote Service per abilitare diverse funzionalità di comunicazione C2 mascherandosi da utility legittima, rendendole così più difficili da individuare.
Credits: Microsoft
Sin dall’inizio il gruppo ha anche utilizzato web shell per mantenere il controllo dei sistemi ed eseguire comandi per lo spostamento laterale. Ad oggi questo rimane il pattern di sfruttamento più utilizzato dal gruppo, eseguito in seguito allo sfruttamento di vulnerabilità di Microsoft Exchange e Zimbra.
Per il movimento laterale, il sottogruppo di Seashell Blizzard utilizza strumenti di tunneling quali Chisel, plink e rsockstun che gli consentono di creare dei canali dedicati nella rete compromessa. In alcune operazioni più mirate, il gruppo ha anche cercato e sottratto credenziali utente per accedere a informazioni sensibili e ampliare il proprio accesso nella rete.
L’impatto della campagna
Stando all’analisi di Microsoft Threat Intelligence, la campagna è attiva almeno dal 2021 e ha colpito realtà di settori critici quali l’energetico, il petrolifero, le telecomunicazioni, la logistica, la manifattura di armi e governi di tutto il mondo. Inizialmente il gruppo prendeva di mira obiettivi in Ucraina e nell’Est Europa, ma a partire da inizio 2024 ha ampliato i propri confini per raggiungere il Regno Unito, gli Stati Uniti, l’Asia Centrale e Meridionale e il Medio Oriente.
“Dato che Seashell Blizzard è la punta di diamante informatica della Russia in Ucraina, Microsoft Threat Intelligence ritiene che questo sottogruppo di accesso continuerà a sviluppare nuove tecniche scalabili orizzontalmente per compromettere le reti sia in Ucraina che a livello globale a sostegno degli obiettivi di guerra della Russia e delle priorità nazionali in evoluzione” avverte il team di Microsoft.
Per aumentare le proprie difese contro Seashell Blizzard e minacce analoghe, gli esperti consigliano di adottare un sistema di gestione automatizzata delle vulnerabilità e implementare l’autenticazione multi-fattore. Le organizzazioni dovrebbero inoltre implementare controlli di accesso e di identità più severi e robusti e abilitare l’autenticazione per tutte le connessioni RDP.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh