近日安全研究人員發(fā)現(xiàn)，俄羅斯國(guó)家政府撐腰的黑客組織Sandworm（“沙蟲”）冒充電信提供商，利用惡意軟件攻擊烏克蘭實(shí)體。

Sandworm是國(guó)家政府撐腰的一伙威脅分子，美國(guó)政府將其歸入為俄羅斯GRU外國(guó)軍事情報(bào)部門的一部分。

據(jù)信這個(gè)高級(jí)持續(xù)性威脅（APT）黑客組織在今年已發(fā)動(dòng)了多起攻擊，包括攻擊烏克蘭能源基礎(chǔ)設(shè)施以及部署一個(gè)名為“Cyclops Blink”的持續(xù)性僵尸網(wǎng)絡(luò)。

從2022年8月開始，私有網(wǎng)絡(luò)安全公司Recorded Future的研究人員觀察到Sandworm指揮和控制（C2）基礎(chǔ)設(shè)施有所增加，這種基礎(chǔ)設(shè)施使用偽裝成烏克蘭電信服務(wù)提供商的動(dòng)態(tài)DNS域。

最近的多起活動(dòng)旨在將Colibri Loader和Warzone RAT（遠(yuǎn)程訪問木馬）等大眾化惡意軟件部署到烏克蘭的關(guān)鍵系統(tǒng)上。

Colibri Loader由Insikt Group于2021年8月首次報(bào)告，它是由用戶“c0d3r_0f_shr0d13ng3r”在XSS論壇上租用的大眾化惡意軟件。它是用匯編語言和C語言編寫的，旨在攻擊沒有任何依賴關(guān)系的Windows操作系統(tǒng)。2022年3月11日，Cloudsek的研究人員稱Colibri Loader是“一種用于將更多類型的惡意軟件加載到受感染系統(tǒng)上的惡意軟件”，它采用“多種有助于避免檢測(cè)的技術(shù)”。 2022年4月5日，Malwarebytes的研究人員也報(bào)告了Colibri Loader的活動(dòng)，進(jìn)一步詳細(xì)說明了它的功能，包括“將惡意載荷投放到受感染計(jì)算機(jī)上并管理惡意載荷”的能力。

Warzone RAT（也稱為Ave Maria Stealer）是一種流行的大眾化遠(yuǎn)程訪問工具（RAT），自2018年以來一直在積極開發(fā)中。它在地下論壇和其開發(fā)者的網(wǎng)站warzone[.]ws上均有售。該惡意軟件號(hào)稱是使用C/C++開發(fā)的功能齊全的RAT，聲稱“易于使用，且高度可靠”。

新的Sandworm基礎(chǔ)設(shè)施

雖然Sandworm已大幅更新了其C2基礎(chǔ)設(shè)施，但這種更新是逐步進(jìn)行的，因此烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT-UA）報(bào)告中的歷史數(shù)據(jù)使Recorded Future得以將當(dāng)前的惡意活動(dòng)與這伙威脅分子聯(lián)系起來，并且有很大的把握。

一個(gè)例子是CERT-UA在2022年6月發(fā)現(xiàn)的域“datagroup[.]ddns[.]net”，該域偽裝成烏克蘭電信運(yùn)營(yíng)商Datagroup的在線門戶。

另一家被欺騙的烏克蘭電信服務(wù)提供商是Kyivstar，Sandworm使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”這兩個(gè)域來冒充Kyivstar。

最近的一個(gè)案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”，很可能是企圖冒充另一家烏克蘭電信運(yùn)營(yíng)商EuroTransTelecom LLC的在線平臺(tái)。

其中許多域解析為新的IP地址，但在一些情況下，與Sandworm可追溯到2022年5月的之前活動(dòng)有重疊。

。

圖1. 自2022年5月以來Sandworm使用的基礎(chǔ)設(shè)施的IP地址（來源：Recorded Future）

感染鏈

攻擊一開始，威脅分子引誘受害者訪問這些域，通常是通過從這些域發(fā)送的電子郵件來引誘，發(fā)件人看起來像是烏克蘭的某家電信提供商。

這些網(wǎng)站使用的語言是烏克蘭語，呈現(xiàn)的主題涉及軍事行動(dòng)、行政通知和報(bào)告等。

Recorded Future看到的最常見的網(wǎng)頁是含有文本“ОДЕСЬКА ОБЛАСНА В?ЙСЬКОВА АДМ?Н?СТРАЦ?Я”的網(wǎng)頁，翻譯過來就是“敖德薩地區(qū)軍事管理局”。

該網(wǎng)頁的HTML包含一個(gè)base64編碼的ISO映像文件，使用HTML挾帶（HTML smuggling）技術(shù)訪問該網(wǎng)站時(shí)，這個(gè)文件就會(huì)自動(dòng)下載。

圖2. 含有經(jīng)過混淆處理的ISO文件的惡意HTML（來源：Recorded Future）

值得注意的是，幾個(gè)俄羅斯國(guó)家政府撐腰的黑客組織采用了HTML挾帶技術(shù)，最近的一個(gè)例子是APT29。

該映像文件中包含的惡意載荷是Warzone RAT，這是創(chuàng)建于2018年的惡意軟件，在2019年達(dá)到了頂峰期。Sandworm使用Warzone RAT替換了在前幾個(gè)月部署的DarkCrystal RAT。

俄羅斯黑客可能希望通過使用廣泛可用的惡意軟件，并希望自己的蹤跡“消失得無影無蹤”，從而使安全分析師跟蹤分析起來更困難。

WarZone RAT惡意軟件可能已經(jīng)過時(shí)，但它依然提供諸多強(qiáng)大的功能，比如UAC繞過、隱藏的遠(yuǎn)程桌面、cookie及密碼竊取、實(shí)時(shí)鍵盤記錄程序、文件操作、反向代理、遠(yuǎn)程外殼（CMD） 和進(jìn)程管理。

本文翻譯自：https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/如若轉(zhuǎn)載，請(qǐng)注明原文地址。