俄羅斯Sandworm黑客冒充烏克蘭電信公司投放惡意軟體

語言: CN / TW / HK

近日安全研究人員發現,俄羅斯國家政府撐腰的黑客組織Sandworm(“沙蟲”)冒充電信提供商,利用惡意軟體攻擊烏克蘭實體。

Sandworm是國家政府撐腰的一夥威脅分子,美國政府將其歸入為俄羅斯GRU外國軍事情報部門的一部分。

據信這個高階持續性威脅(APT)黑客組織在今年已發動了多起攻擊,包括攻擊烏克蘭能源基礎設施以及部署一個名為“Cyclops Blink”的持續性殭屍網路。

從2022年8月開始,私有網路安全公司Recorded Future的研究人員觀察到Sandworm指揮和控制(C2)基礎設施有所增加,這種基礎設施使用偽裝成烏克蘭電信服務提供商的動態DNS域。

最近的多起活動旨在將Colibri Loader和Warzone RAT(遠端訪問木馬)等大眾化惡意軟體部署到烏克蘭的關鍵系統上。

Colibri Loader由Insikt Group於2021年8月首次報告,它是由使用者“c0d3r_0f_shr0d13ng3r”在XSS論壇上租用的大眾化惡意軟體。它是用匯編語言和C語言編寫的,旨在攻擊沒有任何依賴關係的Windows作業系統。2022年3月11日,Cloudsek的研究人員稱Colibri Loader是“一種用於將更多型別的惡意軟體載入到受感染系統上的惡意軟體”,它採用“多種有助於避免檢測的技術”。 2022年4月5日,Malwarebytes的研究人員也報告了Colibri Loader的活動,進一步詳細說明了它的功能,包括“將惡意載荷投放到受感染計算機上並管理惡意載荷”的能力。

Warzone RAT(也稱為Ave Maria Stealer)是一種流行的大眾化遠端訪問工具(RAT),自2018年以來一直在積極開發中。它在地下論壇和其開發者的網站warzone[.]ws上均有售。該惡意軟體號稱是使用C/C++開發的功能齊全的RAT,聲稱“易於使用,且高度可靠”。

新的Sandworm基礎設施

雖然Sandworm已大幅更新了其C2基礎設施,但這種更新是逐步進行的,因此烏克蘭計算機應急響應小組(CERT-UA)報告中的歷史資料使Recorded Future得以將當前的惡意活動與這夥威脅分子聯絡起來,並且有很大的把握。

一個例子是CERT-UA在2022年6月發現的域“datagroup[.]ddns[.]net”,該域偽裝成烏克蘭電信運營商Datagroup的線上門戶。

另一家被欺騙的烏克蘭電信服務提供商是Kyivstar,Sandworm使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”這兩個域來冒充Kyivstar。

最近的一個案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”,很可能是企圖冒充另一家烏克蘭電信運營商EuroTransTelecom LLC的線上平臺。

其中許多域解析為新的IP地址,但在一些情況下,與Sandworm可追溯到2022年5月的之前活動有重疊。

圖1. 自2022年5月以來Sandworm使用的基礎設施的IP地址(來源:Recorded Future)

感染鏈

攻擊一開始,威脅分子引誘受害者訪問這些域,通常是通過從這些域傳送的電子郵件來引誘,發件人看起來像是烏克蘭的某家電信提供商。

這些網站使用的語言是烏克蘭語,呈現的主題涉及軍事行動、行政通知和報告等。

Recorded Future看到的最常見的網頁是含有文字“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的網頁,翻譯過來就是“敖德薩地區軍事管理局”。

該網頁的HTML包含一個base64編碼的ISO映像檔案,使用HTML挾帶(HTML smuggling)技術訪問該網站時,這個檔案就會自動下載。

圖2. 含有經過混淆處理的ISO檔案的惡意HTML(來源:Recorded Future)

值得注意的是,幾個俄羅斯國家政府撐腰的黑客組織採用了HTML挾帶技術,最近的一個例子是APT29。

該映像檔案中包含的惡意載荷是Warzone RAT,這是創建於2018年的惡意軟體,在2019年達到了頂峰期。Sandworm使用Warzone RAT替換了在前幾個月部署的DarkCrystal RAT。

俄羅斯黑客可能希望通過使用廣泛可用的惡意軟體,並希望自己的蹤跡“消失得無影無蹤”,從而使安全分析師跟蹤分析起來更困難。

WarZone RAT惡意軟體可能已經過時,但它依然提供諸多強大的功能,比如UAC繞過、隱藏的遠端桌面、cookie及密碼竊取、實時鍵盤記錄程式、檔案操作、反向代理、遠端外殼(CMD) 和程序管理。

本文翻譯自:https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/如若轉載,請註明原文地址。