墨龍組織在歐洲的隱秘行動
據 Check Point 的報告,一個與中國有關的活躍威脅組織正在利用歐洲政府網絡中配置錯誤的伺服器作為中繼節點,以隱藏其網絡間諜活動。該安全供應商聲稱,墨龍組織已將其在亞洲和南美洲的類似行動擴展到歐洲,通過一系列安靜但有序的活動進行滲透。
初步攻擊路徑
這個組織最初會探測面向公眾的網站,尋找 Microsoft 的 IIS 網頁伺服器、SharePoint 及其他伺服器中的配置問題。一旦獲得立足點,他們會靜悄悄地在環境中活動,從被攻陷的伺服器中收集憑證,識別活躍的管理員會話,並重新使用共享或複製的服務帳戶來接觸附近的系統。他們利用遠端桌面技術與正常流量融合,實現橫向移動。
獲取域權限及持續滲透
一旦威脅行為者找到具有域級權限的帳戶,他們會詳細繪製環境地圖、控制策略設置,並在高價值系統上部署長期存取工具。為了保持持續性,他們安裝後門,部署存儲憑證和數據的植入程序,並尋找新的遠程訪問路徑。
背後的戰略意圖
墨龍組織的更大計劃是建立一個中繼節點網絡,以掩蓋其網絡間諜活動。報告指出,這個組織的特點之一是如何利用被攻陷的組織來支持其他地方的行動。該組織部署了一個定制的 IIS 模組,將面向公眾的伺服器變成安靜的中繼點,這些伺服器在不同受害者之間轉發命令和數據,創建一個隱藏攻擊流量真實來源的通信網。
繼續擴展的威脅
Check Point 表示,為了實現其目標,墨龍組織不斷更新其工具,包括新版本的 FinalDraft 後門,該後門專為長期訪問而設計,並與 Microsoft 雲端活動融合。報告還指出,另一個與中國有關的組織 RudePanda 也侵入了部分相同的歐洲政府網絡,並利用了相同的伺服器漏洞。
這一重疊並不意味著合作,但顯示出未修補的漏洞如何成為多個先進行動者的敞開大門,每個行動者在同一組織內運行各自的活動。其他國家也在使用類似戰術來建立隱秘且有韌性的網絡,以策劃新的攻擊活動。AWS 本週警告稱,俄羅斯軍事情報部門正在利用配置錯誤的網絡邊緣設備進行初始訪問。