無間道! "沙蟲 "組織冒充烏克蘭電信公司投放惡意軟體

語言: CN / TW / HK

Bleeping Computer 資訊網站披露,疑似俄羅斯資助的黑客組織 Sandworm(沙蟲) 偽裝成烏克蘭電信提供商,以惡意軟體攻擊烏克蘭實體。

沙蟲是一個具有國家背景的 APT 組織,美國政府將其歸為俄羅斯 GRU 外國軍事情報部門的下屬分支。據信,該 APT 黑客組織在今年發起了多次網路攻擊,其中包括對烏克蘭能源基礎設施的攻擊以及名為“Cyclops Blink”的持久僵屍網路。

Sandworm 偽裝成烏克蘭電信公司

2022 年 8 月開始,Recorded Future 的研究人員觀察到,使用偽裝成烏克蘭電信服務提供商動態 DNS 域的 Sandworm 命令和控制 (C2) 基礎設施有所增加。最近的活動旨在將 Colibri Loader 和 Warzone RAT(遠端訪問木馬)等商品惡意軟體部署到關鍵的烏克蘭系統上。

新的 "沙蟲 "基礎設施

據悉,Sandworm 大幅重新整理了其 C2 基礎設施,好在它是逐步進行的,因此來自 CERT-UA 的歷史資料,可以幫助 Recorded Future 團隊把當前的攻擊行動與沙蟲聯絡起來。

舉一個例子,CERT-UA 在 2022 年 6 月發現的域名 “datagroup[.]ddns[.net”,它偽裝成烏克蘭電信運營商Datagroup 的線上門戶。另一個受害烏克蘭電信服務提供商 Kyivstar,Sandworm 為其使用了 "kyiv-star[.]ddns[.net "和 "kievstar[.]online "。

最近的發生的案例是 “ett[.]ddns[.]net ”和 “ett[.]hopto[.]org”,這很可能是攻擊者試圖模仿另一個烏克蘭電信運營商 EuroTransTelecom LLC 的線上平臺。

可以看出許多域解析為新的 IP 地址,但在某些情況下,與可追溯到 2022 年 5 月的 Sandworm 活動有重疊。

自 2022 年 5 月以來 Sandworm 使用的基礎設施 IP 地址

感染鏈

攻擊開始時引誘受害者訪問這些域名,之後通過這些域名發出電子郵件,使其看起來發件人是烏克蘭電信供應商。這些網站使用烏克蘭語,呈現的主題主要涉及軍事行動、行政通知、報告等。

Recorded Future 觀察到最常見的網頁是包含文字“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的網頁,翻譯為“敖德薩地區軍事管理局”。網頁 HTML 包含一個 base64 編碼的 ISO 檔案,當使用 HTML 仿問該網站時會自動下載該檔案。

圖片檔案中包含的有效載荷 Warzone RAT,這是一種創建於 2018 年並在 2019 年達到頂峰的惡意軟體,Sandworm 用它來取替代其前幾個月部署的 DarkCrystal RAT。

當前,WarZone RAT 惡意軟體可能已經過時,但它仍然提供強大的功能,如 UAC 繞過、隱藏的遠端桌面、cookie 和密碼竊取、實時鍵盤記錄、檔案操作、反向代理、遠端外殼 (CMD) 和程序管理等。

參考文章:

https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/