无间道! "沙虫 "组织冒充乌克兰电信公司投放恶意软件

安全
该 APT 黑客组织在今年发起了多次网络攻击,其中包括对乌克兰能源基础设施的攻击以及名为“Cyclops Blink”的持久僵尸网络。

Bleeping Computer 资讯网站披露,疑似俄罗斯资助的黑客组织 Sandworm(沙虫) 伪装成乌克兰电信提供商,以恶意软件攻击乌克兰实体。

沙虫是一个具有国家背景的 APT 组织,美国政府将其归为俄罗斯 GRU 外国军事情报部门的下属分支。据信,该 APT 黑客组织在今年发起了多次网络攻击,其中包括对乌克兰能源基础设施的攻击以及名为“Cyclops Blink”的持久僵尸网络。

Sandworm 伪装成乌克兰电信公司

2022 年 8 月开始,Recorded Future 的研究人员观察到,使用伪装成乌克兰电信服务提供商动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT(远程访问木马)等商品恶意软件部署到关键的乌克兰系统上。

新的 "沙虫 "基础设施

据悉,Sandworm 大幅刷新了其 C2 基础设施,好在它是逐步进行的,因此来自 CERT-UA 的历史数据,可以帮助 Recorded Future 团队把当前的攻击行动与沙虫联系起来。

举一个例子,CERT-UA 在 2022 年 6 月发现的域名 “datagroup[.]ddns[.net”,它伪装成乌克兰电信运营商Datagroup 的在线门户。另一个受害乌克兰电信服务提供商 Kyivstar,Sandworm 为其使用了 "kyiv-star[.]ddns[.net "和 "kievstar[.]online "。

最近的发生的案例是 “ett[.]ddns[.]net ”和 “ett[.]hopto[.]org”,这很可能是攻击者试图模仿另一个乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。

可以看出许多域解析为新的 IP 地址,但在某些情况下,与可追溯到 2022 年 5 月的 Sandworm 活动有重叠。

1663657652_632966b49917b41022dc9.jpg!small?1663657652924

自 2022 年 5 月以来 Sandworm 使用的基础设施 IP 地址

感染链

攻击开始时引诱受害者访问这些域名,之后通过这些域名发出电子邮件,使其看起来发件人是乌克兰电信供应商。这些网站使用乌克兰语,呈现的主题主要涉及军事行动、行政通知、报告等。

Recorded Future 观察到最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页,翻译为“敖德萨地区军事管理局”。网页 HTML 包含一个 base64 编码的 ISO 文件,当使用 HTML 仿问该网站时会自动下载该文件。

1663657678_632966ce084d69ac47b17.jpg!small?1663657678376

图片文件中包含的有效载荷 Warzone RAT,这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件,Sandworm 用它来取替代其前几个月部署的 DarkCrystal RAT。

当前,WarZone RAT 恶意软件可能已经过时,但它仍然提供强大的功能,如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理等。

参考文章:https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-09-22 11:16:00

恶意软件Sandworm

2022-03-21 11:58:51

DDoS攻击钓鱼攻击钓鱼网站

2022-06-01 14:36:23

加密货币诈骗攻击

2022-03-29 18:17:12

网络基础设施电信

2022-03-17 11:49:55

恶意软件安全工具钓鱼攻击

2022-03-29 09:14:48

诈骗邮件网络攻击

2022-05-09 13:45:17

勒索软件网络攻击勒索攻击

2022-01-19 12:04:27

勒索软件网络攻击

2021-07-22 16:05:33

恶意软件XLoaderMacOS

2019-07-21 07:37:20

APT恶意软件网络安全

2020-03-23 09:13:02

安全病毒技术

2020-08-29 18:54:49

勒索软件网络攻击网络安全

2013-03-14 18:17:14

诺基亚移动开发者交流沙龙
点赞
收藏

51CTO技术栈公众号