近日安全研究人員發(fā)現(xiàn)，俄羅斯國家政府撐腰的黑客組織Sandworm（“沙蟲”）冒充電信提供商，利用惡意軟件攻擊烏克蘭實體。

Sandworm是國家政府撐腰的一伙威脅分子，美國政府將其歸入為俄羅斯GRU外國軍事情報部門的一部分。

據(jù)信這個高級持續(xù)性威脅（APT）黑客組織在今年已發(fā)動了多起攻擊，包括攻擊烏克蘭能源基礎(chǔ)設(shè)施以及部署一個名為“Cyclops Blink”的持續(xù)性僵尸網(wǎng)絡(luò)。

從2022年8月開始，私有網(wǎng)絡(luò)安全公司Recorded Future的研究人員觀察到Sandworm指揮和控制（C2）基礎(chǔ)設(shè)施有所增加，這種基礎(chǔ)設(shè)施使用偽裝成烏克蘭電信服務(wù)提供商的動態(tài)DNS域。

最近的多起活動旨在將Colibri Loader和Warzone RAT（遠程訪問木馬）等大眾化惡意軟件部署到烏克蘭的關(guān)鍵系統(tǒng)上。

Colibri Loader由Insikt Group于2021年8月首次報告，它是由用戶“c0d3r_0f_shr0d13ng3r”在XSS論壇上租用的大眾化惡意軟件。它是用匯編語言和C語言編寫的，旨在攻擊沒有任何依賴關(guān)系的Windows操作系統(tǒng)。2022年3月11日，Cloudsek的研究人員稱Colibri Loader是“一種用于將更多類型的惡意軟件加載到受感染系統(tǒng)上的惡意軟件”，它采用“多種有助于避免檢測的技術(shù)”。 2022年4月5日，Malwarebytes的研究人員也報告了Colibri Loader的活動，進一步詳細說明了它的功能，包括“將惡意載荷投放到受感染計算機上并管理惡意載荷”的能力。

Warzone RAT（也稱為Ave Maria Stealer）是一種流行的大眾化遠程訪問工具（RAT），自2018年以來一直在積極開發(fā)中。它在地下論壇和其開發(fā)者的網(wǎng)站warzone[.]ws上均有售。該惡意軟件號稱是使用C/C++開發(fā)的功能齊全的RAT，聲稱“易于使用，且高度可靠”。

新的Sandworm基礎(chǔ)設(shè)施

雖然Sandworm已大幅更新了其C2基礎(chǔ)設(shè)施，但這種更新是逐步進行的，因此烏克蘭計算機應(yīng)急響應(yīng)小組（CERT-UA）報告中的歷史數(shù)據(jù)使Recorded Future得以將當前的惡意活動與這伙威脅分子聯(lián)系起來，并且有很大的把握。

一個例子是CERT-UA在2022年6月發(fā)現(xiàn)的域“datagroup[.]ddns[.]net”，該域偽裝成烏克蘭電信運營商Datagroup的在線門戶。

另一家被欺騙的烏克蘭電信服務(wù)提供商是Kyivstar，Sandworm使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”這兩個域來冒充Kyivstar。

最近的一個案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”，很可能是企圖冒充另一家烏克蘭電信運營商EuroTransTelecom LLC的在線平臺。

其中許多域解析為新的IP地址，但在一些情況下，與Sandworm可追溯到2022年5月的之前活動有重疊。

。

圖1. 自2022年5月以來Sandworm使用的基礎(chǔ)設(shè)施的IP地址（來源：Recorded Future）

感染鏈

攻擊一開始，威脅分子引誘受害者訪問這些域，通常是通過從這些域發(fā)送的電子郵件來引誘，發(fā)件人看起來像是烏克蘭的某家電信提供商。

這些網(wǎng)站使用的語言是烏克蘭語，呈現(xiàn)的主題涉及軍事行動、行政通知和報告等。

Recorded Future看到的最常見的網(wǎng)頁是含有文本“ОДЕСЬКА ОБЛАСНА В?ЙСЬКОВА АДМ?Н?СТРАЦ?Я”的網(wǎng)頁，翻譯過來就是“敖德薩地區(qū)軍事管理局”。

該網(wǎng)頁的HTML包含一個base64編碼的ISO映像文件，使用HTML挾帶（HTML smuggling）技術(shù)訪問該網(wǎng)站時，這個文件就會自動下載。

圖2. 含有經(jīng)過混淆處理的ISO文件的惡意HTML（來源：Recorded Future）

值得注意的是，幾個俄羅斯國家政府撐腰的黑客組織采用了HTML挾帶技術(shù)，最近的一個例子是APT29。

該映像文件中包含的惡意載荷是Warzone RAT，這是創(chuàng)建于2018年的惡意軟件，在2019年達到了頂峰期。Sandworm使用Warzone RAT替換了在前幾個月部署的DarkCrystal RAT。

俄羅斯黑客可能希望通過使用廣泛可用的惡意軟件，并希望自己的蹤跡“消失得無影無蹤”，從而使安全分析師跟蹤分析起來更困難。

WarZone RAT惡意軟件可能已經(jīng)過時，但它依然提供諸多強大的功能，比如UAC繞過、隱藏的遠程桌面、cookie及密碼竊取、實時鍵盤記錄程序、文件操作、反向代理、遠程外殼（CMD） 和進程管理。

本文翻譯自：https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/如若轉(zhuǎn)載，請注明原文地址。