俄羅斯Sandworm黑客冒充烏克蘭電信公司投放惡意軟體

近日安全研究人員發現，俄羅斯國家政府撐腰的黑客組織Sandworm（“沙蟲”）冒充電信提供商，利用惡意軟體攻擊烏克蘭實體。

Sandworm是國家政府撐腰的一夥威脅分子，美國政府將其歸入為俄羅斯GRU外國軍事情報部門的一部分。

據信這個高階持續性威脅（APT）黑客組織在今年已發動了多起攻擊，包括攻擊烏克蘭能源基礎設施以及部署一個名為“Cyclops Blink”的持續性僵屍網路。

從2022年8月開始，私有網路安全公司Recorded Future的研究人員觀察到Sandworm指揮和控制（C2）基礎設施有所增加，這種基礎設施使用偽裝成烏克蘭電信服務提供商的動態DNS域。

最近的多起活動旨在將Colibri Loader和Warzone RAT（遠端訪問木馬）等大眾化惡意軟體部署到烏克蘭的關鍵系統上。

Colibri Loader由Insikt Group於2021年8月首次報告，它是由使用者“c0d3r_0f_shr0d13ng3r”在XSS論壇上租用的大眾化惡意軟體。它是用匯編語言和C語言編寫的，旨在攻擊沒有任何依賴關係的Windows作業系統。2022年3月11日，Cloudsek的研究人員稱Colibri Loader是“一種用於將更多型別的惡意軟體載入到受感染系統上的惡意軟體”，它採用“多種有助於避免檢測的技術”。 2022年4月5日，Malwarebytes的研究人員也報告了Colibri Loader的活動，進一步詳細說明了它的功能，包括“將惡意載荷投放到受感染計算機上並管理惡意載荷”的能力。

Warzone RAT（也稱為Ave Maria Stealer）是一種流行的大眾化遠端訪問工具（RAT），自2018年以來一直在積極開發中。它在地下論壇和其開發者的網站warzone[.]ws上均有售。該惡意軟體號稱是使用C/C++開發的功能齊全的RAT，聲稱“易於使用，且高度可靠”。

新的Sandworm基礎設施

雖然Sandworm已大幅更新了其C2基礎設施，但這種更新是逐步進行的，因此烏克蘭計算機應急響應小組（CERT-UA）報告中的歷史資料使Recorded Future得以將當前的惡意活動與這夥威脅分子聯絡起來，並且有很大的把握。

一個例子是CERT-UA在2022年6月發現的域“datagroup[.]ddns[.]net”，該域偽裝成烏克蘭電信運營商Datagroup的線上門戶。

另一家被欺騙的烏克蘭電信服務提供商是Kyivstar，Sandworm使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”這兩個域來冒充Kyivstar。

最近的一個案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”，很可能是企圖冒充另一家烏克蘭電信運營商EuroTransTelecom LLC的線上平臺。

其中許多域解析為新的IP地址，但在一些情況下，與Sandworm可追溯到2022年5月的之前活動有重疊。

。

圖1. 自2022年5月以來Sandworm使用的基礎設施的IP地址（來源：Recorded Future）

感染鏈

攻擊一開始，威脅分子引誘受害者訪問這些域，通常是通過從這些域傳送的電子郵件來引誘，發件人看起來像是烏克蘭的某家電信提供商。

這些網站使用的語言是烏克蘭語，呈現的主題涉及軍事行動、行政通知和報告等。

Recorded Future看到的最常見的網頁是含有文字“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的網頁，翻譯過來就是“敖德薩地區軍事管理局”。

該網頁的HTML包含一個base64編碼的ISO映像檔案，使用HTML挾帶（HTML smuggling）技術訪問該網站時，這個檔案就會自動下載。

圖2. 含有經過混淆處理的ISO檔案的惡意HTML（來源：Recorded Future）

值得注意的是，幾個俄羅斯國家政府撐腰的黑客組織採用了HTML挾帶技術，最近的一個例子是APT29。

該映像檔案中包含的惡意載荷是Warzone RAT，這是創建於2018年的惡意軟體，在2019年達到了頂峰期。Sandworm使用Warzone RAT替換了在前幾個月部署的DarkCrystal RAT。

俄羅斯黑客可能希望通過使用廣泛可用的惡意軟體，並希望自己的蹤跡“消失得無影無蹤”，從而使安全分析師跟蹤分析起來更困難。

WarZone RAT惡意軟體可能已經過時，但它依然提供諸多強大的功能，比如UAC繞過、隱藏的遠端桌面、cookie及密碼竊取、實時鍵盤記錄程式、檔案操作、反向代理、遠端外殼（CMD） 和程序管理。

本文翻譯自：https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/如若轉載，請註明原文地址。