最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

俄罗斯沙虫黑客冒充乌克兰电信公司恶意软件攻击-但此事件尚未证实事实

网络安全 快米云 来源:快米云 58浏览

沙虫黑客

据观察,俄罗斯国家资助的黑客组织 Sandworm 伪装成电信提供商,以恶意软件攻击乌克兰实体。

Sandworm 是国家支持的威胁行为者,美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。

据信,APT 黑客组织在今年发起了多次攻击,包括对 乌克兰能源基础设施的攻击以及名为“ Cyclops Blink ” 的持久僵尸网络的部署。

从 2022 年 8 月开始,  Recorded Future的研究人员 观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。

最近的活动旨在将 Colibri Loader 和 Warzone RAT(远程访问木马)等商品恶意软件部署到关键的乌克兰系统上。

新的沙虫基础设施

虽然 Sandworm 已显着更新了其 C2 基础设施,但它是逐步更新的,因此 CERT-UA 报告中的历史数据使 Recorded Future 能够将当前操作与威胁行为者联系起来,并充满信心。

一个例子是 CERT-UA于 2022 年 6 月发现的域“datagroup[.]ddns[.]net”  ,伪装成乌克兰电信运营商 Datagroup 的在线门户。

另一个被欺骗的乌克兰电信服务提供商是 Kyivstar,Sandworm 使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”的外观。

最近的案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”,很可能是为了模仿另一家乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。

其中许多域解析为新的 IP 地址,但在某些情况下,与可追溯到 2022 年 5 月的过去 Sandworm 活动有重叠。

Sandworm 使用的基础设施的 IP 地址
自 2022 年 5 月以来 Sandworm 使用的基础设施 IP 地址 (已记录的未来)

感染链

攻击首先引诱受害者访问这些域,通常是通过从这些域发送的电子邮件,使发件人看起来像是乌克兰的电信提供商。

这些网站使用的语言是乌克兰语,呈现的主题涉及军事行动、行政通知、报告等。

Recorded Future 看到的最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页,翻译为“敖德萨地区军事管理局”。

网页的 HTML 包含一个 base64 编码的 ISO 文件,当使用 HTML 走私技术访问网站时会自动下载该文件。

包含混淆 ISO 的恶意 HTML
包含混淆 ISO 的恶意 HTML (已记录的未来)

值得注意的是,几个俄罗斯国家资助的黑客组织使用 HTML 走私,最近的一个例子是 APT29

图像文件中包含的有效载荷是 Warzone RAT,这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件。Sandworm 使用它来替换他们在前几个月部署的 DarkCrystal RAT。

可能是,俄罗斯黑客希望通过使用广泛可用的恶意软件并希望他们的踪迹“消失在噪音中”,从而使安全分析师的跟踪和归因更加困难。

WarZone RAT 恶意软件可能已经过时,但它仍然提供强大的功能,如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 俄罗斯沙虫黑客冒充乌克兰电信公司恶意软件攻击-但此事件尚未证实事实