关键词
Sandworm
据FreeBuf 站消息,疑似俄罗斯资助的黑客组织Sandworm(沙虫) 伪装成乌克兰电信提供商,以恶意软件攻击乌克兰实体。
沙虫是一个具有国家背景的 APT 组织,美国政府将其归为俄罗斯 GRU 外国军事情 部门的下属分支。据信,该 APT 黑客组织在今年发起了多次 络攻击,其中包括对乌克兰能源基础设施的攻击以及名为“Cyclops Blink”的持久僵尸 络。
Sandworm 伪装成乌克兰电信公司
2022 年 8 月开始,Recorded Future 的研究人员观察到,使用伪装成乌克兰电信服务提供商动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT(远程访问木马)等商品恶意软件部署到关键的乌克兰系统上。
新的 “沙虫 “基础设施
据悉,Sandworm 大幅刷新了其 C2 基础设施,好在它是逐步进行的,因此来自 CERT-UA 的历史数据,可以帮助 Recorded Future 团队把当前的攻击行动与沙虫联系起来。
举一个例子,CERT-UA 在 2022 年 6 月发现的域名 “datagroup[.]ddns[.net”,它伪装成乌克兰电信运营商Datagroup 的在线门户。另一个受害乌克兰电信服务提供商 Kyivstar,Sandworm 为其使用了 “kyiv-star[.]ddns[.net “和 “kievstar[.]online “。
最近的发生的案例是 “ett[.]ddns[.]net ”和 “ett[.]hopto[.]org”,这很可能是攻击者试图模仿另一个乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。
可以看出许多域解析为新的 IP 地址,但在某些情况下,与可追溯到 2022 年 5 月的 Sandworm 活动有重叠。
感染链
攻击开始时引诱受害者访问这些域名,之后通过这些域名发出电子邮件,使其看起来发件人是乌克兰电信供应商。这些 站使用乌克兰语,呈现的主题主要涉及军事行动、行政通知、 告等。
RecordedFuture观察到最常见的 页是包含“ОДЕСЬКАОБЛАСНА В?ЙСЬКОВА АДМ?Н?СТРАЦ?Я”的 页,翻译为“敖德萨地区军事管理局”。 页 HTML 包含一个 base64 编码的 ISO 文件,当使用 HTML 仿问该 站时会自动下载该文件。
图片文件中包含的有效载荷 Warzone RAT,这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件,Sandworm 用它来取替代其前几个月部署的 DarkCrystal RAT。
当前,WarZone RAT 恶意软件可能已经过时,但它仍然提供强大的功能,如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理等。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!