无间道! “沙虫 “组织冒充乌克兰电信公司投放恶意软件 

Bleeping Computer 资讯网站披露,疑似俄罗斯资助的黑客组织 Sandworm(沙虫) 伪装成乌克兰电信提供商,以恶意软件攻击乌克兰实体。1663657624_632966988aab9d3108a8b.jpg!small?1663657624857

沙虫是一个具有国家背景的 APT 组织,美国政府将其归为俄罗斯 GRU 外国军事情报部门的下属分支。据信,该 APT 黑客组织在今年发起了多次网络攻击,其中包括对乌克兰能源基础设施的攻击以及名为“Cyclops Blink”的持久僵尸网络。

Sandworm 伪装成乌克兰电信公司

2022 年 8 月开始,Recorded Future 的研究人员观察到,使用伪装成乌克兰电信服务提供商动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT(远程访问木马)等商品恶意软件部署到关键的乌克兰系统上。

新的 “沙虫 “基础设施

据悉,Sandworm 大幅刷新了其 C2 基础设施,好在它是逐步进行的,因此来自 CERT-UA 的历史数据,可以帮助 Recorded Future 团队把当前的攻击行动与沙虫联系起来。

举一个例子,CERT-UA 在 2022 年 6 月发现的域名 “datagroup[.]ddns[.net”,它伪装成乌克兰电信运营商Datagroup 的在线门户。另一个受害乌克兰电信服务提供商 Kyivstar,Sandworm 为其使用了 “kyiv-star[.]ddns[.net “和 “kievstar[.]online “。

最近的发生的案例是 “ett[.]ddns[.]net ”和 “ett[.]hopto[.]org”,这很可能是攻击者试图模仿另一个乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。

可以看出许多域解析为新的 IP 地址,但在某些情况下,与可追溯到 2022 年 5 月的 Sandworm 活动有重叠。1663657652_632966b49917b41022dc9.jpg!small?1663657652924

自 2022 年 5 月以来 Sandworm 使用的基础设施 IP 地址

感染链

攻击开始时引诱受害者访问这些域名,之后通过这些域名发出电子邮件,使其看起来发件人是乌克兰电信供应商。这些网站使用乌克兰语,呈现的主题主要涉及军事行动、行政通知、报告等。

Recorded Future 观察到最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页,翻译为“敖德萨地区军事管理局”。网页 HTML 包含一个 base64 编码的 ISO 文件,当使用 HTML 仿问该网站时会自动下载该文件。

1663657678_632966ce084d69ac47b17.jpg!small?1663657678376

图片文件中包含的有效载荷 Warzone RAT,这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件,Sandworm 用它来取替代其前几个月部署的 DarkCrystal RAT。

当前,WarZone RAT 恶意软件可能已经过时,但它仍然提供强大的功能,如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理等。

参考文章:

https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/

本文作者:james_23, 转载请注明来自FreeBuf.COM

主题测试文章,只做测试使用。发布者:1869,转转请注明出处:https://community.anqiangkj.com/archives/24153

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年9月20日 下午7:13
下一篇 2022年9月20日 下午7:16

相关推荐