据观察,俄罗斯国家资助的黑客组织 Sandworm 伪装成电信提供商,以恶意软件攻击乌克兰实体。
Sandworm 是国家支持的威胁行为者,美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。
据信,APT 黑客组织在今年发起了多次攻击,包括对 乌克兰能源基础设施的攻击以及名为“ Cyclops Blink ” 的持久僵尸网络的部署。
从 2022 年 8 月开始, Recorded Future的研究人员 观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。
最近的活动旨在将 Colibri Loader 和 Warzone RAT(远程访问木马)等商品恶意软件部署到关键的乌克兰系统上。
新的沙虫基础设施
虽然 Sandworm 已显着更新了其 C2 基础设施,但它是逐步更新的,因此 CERT-UA 报告中的历史数据使 Recorded Future 能够将当前操作与威胁行为者联系起来,并充满信心。
一个例子是 CERT-UA于 2022 年 6 月发现的域“datagroup[.]ddns[.]net” ,伪装成乌克兰电信运营商 Datagroup 的在线门户。
另一个被欺骗的乌克兰电信服务提供商是 Kyivstar,Sandworm 使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”的外观。
最近的案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”,很可能是为了模仿另一家乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。
其中许多域解析为新的 IP 地址,但在某些情况下,与可追溯到 2022 年 5 月的过去 Sandworm 活动有重叠。
感染链
攻击首先引诱受害者访问这些域,通常是通过从这些域发送的电子邮件,使发件人看起来像是乌克兰的电信提供商。
这些网站使用的语言是乌克兰语,呈现的主题涉及军事行动、行政通知、报告等。
Recorded Future 看到的最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页,翻译为“敖德萨地区军事管理局”。
网页的 HTML 包含一个 base64 编码的 ISO 文件,当使用 HTML 走私技术访问网站时会自动下载该文件。
值得注意的是,几个俄罗斯国家资助的黑客组织使用 HTML 走私,最近的一个例子是 APT29。
图像文件中包含的有效载荷是 Warzone RAT,这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件。Sandworm 使用它来替换他们在前几个月部署的 DarkCrystal RAT。
可能是,俄罗斯黑客希望通过使用广泛可用的恶意软件并希望他们的踪迹“消失在噪音中”,从而使安全分析师的跟踪和归因更加困难。
WarZone RAT 恶意软件可能已经过时,但它仍然提供强大的功能,如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 俄罗斯沙虫黑客冒充乌克兰电信公司恶意软件攻击-但此事件尚未证实事实
