Bleeping Computer 資訊網站披露，疑似俄羅斯資助的黑客組織 Sandworm（沙蟲） 偽裝成烏克蘭電信提供商，以惡意軟件攻擊烏克蘭實體。

沙蟲是一個具有國家背景的 APT 組織，美國政府將其歸為俄羅斯 GRU 外國軍事情報部門的下屬分支。據信，該 APT 黑客組織在今年發起了多次網絡攻擊，其中包括對烏克蘭能源基礎設施的攻擊以及名為“Cyclops Blink”的持久僵尸網絡。

Sandworm 偽裝成烏克蘭電信公司

2022 年 8 月開始，Recorded Future 的研究人員觀察到，使用偽裝成烏克蘭電信服務提供商動態 DNS 域的 Sandworm 命令和控制 (C2) 基礎設施有所增加。最近的活動旨在將 Colibri Loader 和 Warzone RAT（遠程訪問木馬）等商品惡意軟件部署到關鍵的烏克蘭系統上。

新的 "沙蟲 "基礎設施

據悉，Sandworm 大幅刷新了其 C2 基礎設施，好在它是逐步進行的，因此來自 CERT-UA 的歷史數據，可以幫助 Recorded Future 團隊把當前的攻擊行動與沙蟲聯系起來。

舉一個例子，CERT-UA 在 2022 年 6 月發現的域名 “datagroup[.]ddns[.net”，它偽裝成烏克蘭電信運營商Datagroup 的在線門戶。另一個受害烏克蘭電信服務提供商 Kyivstar，Sandworm 為其使用了 "kyiv-star[.]ddns[.net "和 "kievstar[.]online "。

最近的發生的案例是 “ett[.]ddns[.]net ”和 “ett[.]hopto[.]org”，這很可能是攻擊者試圖模仿另一個烏克蘭電信運營商 EuroTransTelecom LLC 的在線平臺。

可以看出許多域解析為新的 IP 地址，但在某些情況下，與可追溯到 2022 年 5 月的 Sandworm 活動有重疊。

自 2022 年 5 月以來 Sandworm 使用的基礎設施 IP 地址

感染鏈

攻擊開始時引誘受害者訪問這些域名，之后通過這些域名發出電子郵件，使其看起來發件人是烏克蘭電信供應商。這些網站使用烏克蘭語，呈現的主題主要涉及軍事行動、行政通知、報告等。

Recorded Future 觀察到最常見的網頁是包含文本“ОДЕСЬКА ОБЛАСНА В?ЙСЬКОВА АДМ?Н?СТРАЦ?Я”的網頁，翻譯為“敖德薩地區軍事管理局”。網頁 HTML 包含一個 base64 編碼的 ISO 文件，當使用 HTML 仿問該網站時會自動下載該文件。

圖片文件中包含的有效載荷 Warzone RAT，這是一種創建于 2018 年并在 2019 年達到頂峰的惡意軟件，Sandworm 用它來取替代其前幾個月部署的 DarkCrystal RAT。

當前，WarZone RAT 惡意軟件可能已經過時，但它仍然提供強大的功能，如 UAC 繞過、隱藏的遠程桌面、cookie 和密碼竊取、實時鍵盤記錄、文件操作、反向代理、遠程外殼 (CMD) 和進程管理等。

參考文章：https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/