近日,安全研究人员发现俄罗斯国家支持的黑客组织Sandworm(“Sandworm”)利用恶意软件冒充电信提供商攻击乌克兰实体。Sandworm是一群由国家政府支持的威胁行为者,美国政府将其归类为俄罗斯GRU外国军事情报部门的一部分。据信,高级持续威胁(APT)黑客组织今年实施了多次攻击,包括对乌克兰能源基础设施的攻击,以及部署名为“CyclopsBlink”的持久性僵尸网络。从2022年8月开始,私营网络安全公司RecordedFuture的研究人员观察到,使用伪装成乌克兰电信服务提供商的动态DNS域的Sandworm命令和控制(C2)基础设施有所增加。最近的多项活动旨在将ColibriLoader和WarzoneRAT(远程访问木马)等流行恶意软件部署到乌克兰的关键系统上。ColibriLoader于2021年8月由InsiktGroup首次报告,是一种流行的恶意软件,由用户“c0d3r_0f_shr0d13ng3r”在XSS论坛上租用。它是用汇编语言和C语言编写的,旨在攻击没有任何依赖项的Windows操作系统。2022年3月11日,Cloudsek研究人员将ColibriLoader描述为“一种用于将更多类型的恶意软件加载到受感染系统上的恶意软件”,它采用了“有助于避免检测的多种技术”。2022年4月5日,Malwarebytes的研究人员还报告了ColibriLoader活动,进一步详细说明了其功能,包括“将恶意负载投放到受感染的计算机上并管理恶意负载”的能力。WarzoneRAT(也称为AveMariaStealer)是一种流行的民主化远程访问工具(RAT),自2018年以来一直在积极开发。它在地下论坛和开发者网站warzone[.]ws上都有销售。该恶意软件声称是用C/C++开发的功能齐全的RAT,它声称“易于使用且高度可靠”。新的Sandworm基础设施虽然Sandworm已经大幅更新了它的C2基础设施,但这次更新是逐步完成的,因此来自CERT-UA报告的历史数据允许RecordedFuture映射当前的恶意活动以与这帮威胁参与者建立联系并有一个很好的机会。一个例子是CERT-UA于2022年6月发现的域“datagroup[.]ddns[.]net”,该域伪装成乌克兰电信运营商Datagroup的在线门户。另一个被欺骗的乌克兰电信服务提供商是Kyivstar,Sandworm曾使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”域名冒充Kyivstar。最近的一起案件涉及“ett[.]ddns[.]net”和“ett[.]hopto[.]org”,可能试图冒充另一家乌克兰电信运营商EuroTransTelecomLLC的在线平台。其中许多域解析为新的IP地址,但在某些情况下与可追溯到2022年5月的先前Sandworm活动重叠。。图1.Sandworm自2022年5月以来使用的基础设施的IP地址(来源:RecordedFuture)乌克兰。这些网站使用的语言是乌克兰语,所呈现的主题与军事行动、行政通知和报告等有关。RecordedFuture看到的最常见页面是带有文本“ОДЕСЬКАОБЛАСНАВ?ЙСЬКОВААДМ???СРАЦ?Я”的页面,翻译为“敖德萨地区”军政”。网页的HTML中包含一个base64编码的ISO镜像文件,使用HTML走私访问网站时会自动下载该镜像文件。图2.包含经过混淆处理的ISO文件的恶意HTML(来源:RecordedFuture)值得注意的是,几个俄罗斯国家支持的黑客组织已经采用了HTML搭载技术,最近的一次是APT29。此图像文件中包含的恶意负载是WarzoneRAT,这是一种创建于2018年并在2019年达到顶峰的恶意软件。Sandworm将前几个月部署的DarkCrystalRAT替换为WarzoneRAT。俄罗斯黑客可能希望通过使用广泛使用的恶意软件并希望他们的踪迹“消失得无影无踪”,让安全分析师更难追踪。WarZoneRAT恶意软件可能已经过时,但它仍然提供许多强大的功能,例如UAC绕过、隐藏的远程桌面、cookie和密码窃取、实时键盘记录器、文件操作、反向代理、远程shell(CMD)和进程管理。本文翻译自:https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/如有转载请注明出处。
