克里姆林宫支持的黑客组织使用 CloudFlare 服务实施攻击

关键要点

• 蓝阿尔法（BlueAlpha） 黑客组织正在利用 CloudFlare 的合法网络服务进行针对性的网络攻击。
• 该组使用 CloudFlare 的 Tunnels 服务隐匿其恶意软件的指挥与控制服务器。
• Tunnels 服务 为攻击链提供加密连接，帮助攻击者规避安全工具的检测。
• 该团伙主要针对乌克兰的高价值个人和组织，且与俄罗斯的情报机构 FSB 关系密切。

克里姆林宫支持的一个臭名昭著的黑客组织正利用
提供的合法网络服务来协调和开展定向攻击。研究机构
报告称，这个被称为 蓝阿尔法（BlueAlpha） 的威胁团伙正在利用 CloudFlare的安全隧道服务，从而增强其对乌克兰个人和组织的恶意软件攻击的有效性。

根据 InsiktGroup 的说法，蓝阿尔法黑客采用了 Tunnels服务，隐藏了他们用于连接感染机器与恶意软件指挥控制服务器的各种临时服务器和连接。该团队解释道：“蓝阿尔法利用 Cloudflare Tunnels 作为其
GammaDrop 临时基础设施的一部分，使其能够有效避开传统网络检测机制，并进一步复杂化识别和阻止其活动的努力。”

CloudFlare Tunnels 是为了帮助客户将自己的服务器连接到 CloudFlare 的边缘网络而设计的，该服务在客户的服务器与
CloudFlare 服务之间建立了安全的加密连接。在这种情况下，InsiktGroup 表示，蓝阿尔法在其
的后期阶段使用 Tunnels 服务。一旦用户被引导至一个下载恶意 LNK文件的攻击网站，他们会被导向 Tunnels 服务，以此在受害者与承载恶意软件负载的服务器之间建立安全连接。

这一机制为蓝阿尔法团队提供了攻击链中关键环节的安全连接，使他们能够更好地避开安全工具和网络管理员的检测。研究人员指出，蓝阿尔法并不是唯一采用这种技术的组织，近年来使用
Tunnels 来隐匿攻击链的技术在威胁行为者中越来越受欢迎。

蓝阿尔法因其针对乌克兰高价值个人和组织的攻击而声名大噪，这也是俄罗斯试图入侵乌克兰的网络威胁行动的一部分。据称，该团伙在俄罗斯 FSB的指示下进行活动。InsiktGroup 解释称，蓝阿尔法是一个名为 Centre 18 的团伙的分支，该团伙直接受克里姆林宫的情报机构控制。