BleepingComputer信息网披露,疑似俄资黑客组织沙虫(Sandworm)冒充乌克兰电信公司,利用恶意软件对乌克兰实体进行攻击。Sandworm是一个国家支持的APT组织,美国政府将其归类为俄罗斯GRU外国军事情报部门的一个分支。据信,APT黑客组织今年发起了多起网络攻击,包括对乌克兰能源基础设施的攻击以及名为“CyclopsBlink”的持久僵尸网络。伪装成乌克兰电信公司的沙虫从2022年8月开始,RecordedFuture的研究人员观察到伪装成乌克兰电信服务提供商动态DNS域的沙虫命令和控制(C2)基础设施的使用有所增加。最近的活动旨在将商品恶意软件(例如ColibriLoader和WarzoneRAT(远程访问木马))部署到关键的乌克兰系统上。新的“Sandworm”基础设施据报道,Sandworm已经大幅更新了其C2基础设施。幸运的是,它是逐步完成的,因此来自CERT-UA的历史数据可以帮助RecordedFuture团队将当前的攻击与Sandworm联系起来。例如,CERT-UA于2022年6月发现的域名“datagroup[.]ddns[.net”伪装成乌克兰电信运营商Datagroup的在线门户。另一个受害的乌克兰电信提供商Kyivstar,Sandworm使用“kyiv-star[.]ddns[.net”和“kievstar[.]online”为其服务。最近的案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”,它们很可能是攻击者试图模仿另一家乌克兰电信运营商EuroTransTelecomLLC的在线平台。可以看到许多域解析到新的IP地址,但在某些情况下,与Sandworm活动重叠可追溯到2022年5月。Sandworm自2022年5月以来使用的基础设施IP地址的感染链开始通过将受害者引诱到这些域,之后电子邮件被从这些域发送,使发件人看起来像是来自乌克兰电信提供商。这些网站使用乌克兰语,呈现的主题主要与军事行动、行政通知、报告等有关。RecordedFuture观察到的最常见的页面是包含“ОДЕСЬКАОБЛАСНАВ?ЙСЬКОВААДМ??СТРАЦ?Я”文本的页面,翻译为“敖德萨地区军事管理局”。网页HTML包含一个base64编码的ISO文件,当使用HTML复制网站时会自动下载该文件。图像文件中包含的有效载荷是WarzoneRAT,这是一种创建于2018年并在2019年达到顶峰的恶意软件,Sandworm用它来替换它在前几个月部署的DarkCrystalRAT。目前,WarZoneRAT恶意软件可能已经过时,但它仍然提供强大的功能,如绕过UAC、隐藏远程桌面、窃取cookie和密码、实时键盘记录、文件操作、反向代理、远程shell(CMD)和进程管理等。参考文章:https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/
