微软揭示新兴的俄罗斯网络威胁组织 Cadet Blizzard

重点要点

微软在追踪一个国家支持的威胁组织，命名为 Cadet Blizzard，关联俄罗斯军事情报机构 GRU。Cadet Blizzard 主要针对乌克兰政府与信息技术服务提供商，并已扩展至欧洲与拉美。该组织以破坏性攻击和信息操作为目标，运用“生活在土地上”的技术进行网络攻击。微软呼吁与提供军事支持的北约成员国保持警惕，以防遭到该组织攻击。

微软在周三宣布，自2022年1月以来一直在追踪的一个国家支持的威胁团体被认定为一个新兴的高级持续性威胁APT组织，名为 Cadet Blizzard，相关联的俄罗斯军事情报机构为 GRU。

曾被追踪为 DEV0586，微软决定提升这一组织的地位并为其命名为 Cadet Blizzard，这符合他们根据天气事件为国家支持团体命名的新规则。例如，与俄罗斯和中国有关的 APT 组织的名字中包含“blizzard”，而伊朗团体则使用 “sandstorm”。

Cadet Blizzard 在俄罗斯侵略乌克兰的一个月前，开始创建并部署 WhisperGate 恶意软件。WhisperGate 是网络安全公司观察到俄罗斯用于攻击乌克兰政府的“清除者”恶意软件之一，美国 政府机构已警告组织 该恶意软件自2022年初的侵略以来。

微软威胁情报描述 WhisperGate 具有“清除主启动记录MBR的破坏能力”，旨在删除数据并使系统无法操作。

Cadet Blizzard 结构设计旨在通过有针对性的黑客泄露操作曝光敏感信息，但博客指出，它在规模和范围上不如其更成熟的俄罗斯同类组织广泛。

一位在推特上名为“Justin”的微软威胁情报员工 (@sixdub) 表示：“该组织被指派进行高调的破坏性攻击和信息操作。看到一个如此新颖的组织拥有这样的任务让我们感到惊讶。” Justin 进一步表示，其他俄罗斯团体不应妒忌 Cadet Blizzard，因为其成功有限，整体的新颖性和不成熟在其入侵中可见一斑。

Cadet Blizzard 主要针对乌克兰政府组织和信息技术服务提供商，但微软指出，欧洲和拉美的组织也成为其攻击对象。微软威胁情报评估认为，参与向乌克兰提供军事援助的北约成员国面临更大的风险。

该组织的活动在2022年1月至6月间达到峰值，随后在2023年1月再次增加针对乌克兰和欧洲的攻击，包括网站篡改以及在 Telegram 上创建“免费公民”频道，后续则是活动减少的一段时期。

根据微软的说法，该组织持续瞄准为政府组织提供服务的信息技术供应商和软件开发者，使用供应链“一个被攻破，多个被突破”的技术。它常常在获得初始访问权限后应用生活在土地上的技术，横向移动网络，收集凭证和其他信息，并部署规避技术。

“与其他俄罗斯相关的组织历史上更倾向于保持隐蔽以进行间谍活动不同，Cadet Blizzard 的一些显著操作结果十分破坏性，几乎可以肯定意在向目标发出公开信号，以实现更大的破坏、干扰，甚至可能是恐吓的目标。”该威胁情报团队写道。

欲了解有关 Cadet Blizzard 的技术、战术和程序TTP的更多信息，请访问 [微软的安全博客](https//wwwmicrosoftcom/enus/security/blog/2023/06/14

旋风加速器ios