Bleeping Computer 資訊網(wǎng)站披露，疑似俄羅斯資助的黑客組織 Sandworm（沙蟲） 偽裝成烏克蘭電信提供商，以惡意軟件攻擊烏克蘭實體。

沙蟲是一個具有國家背景的 APT 組織，美國政府將其歸為俄羅斯 GRU 外國軍事情報部門的下屬分支。據(jù)信，該 APT 黑客組織在今年發(fā)起了多次網(wǎng)絡(luò)攻擊，其中包括對烏克蘭能源基礎(chǔ)設(shè)施的攻擊以及名為“Cyclops Blink”的持久僵尸網(wǎng)絡(luò)。

Sandworm 偽裝成烏克蘭電信公司

2022 年 8 月開始，Recorded Future 的研究人員觀察到，使用偽裝成烏克蘭電信服務(wù)提供商動態(tài) DNS 域的 Sandworm 命令和控制 (C2) 基礎(chǔ)設(shè)施有所增加。最近的活動旨在將 Colibri Loader 和 Warzone RAT（遠程訪問木馬）等商品惡意軟件部署到關(guān)鍵的烏克蘭系統(tǒng)上。

新的 "沙蟲 "基礎(chǔ)設(shè)施

據(jù)悉，Sandworm 大幅刷新了其 C2 基礎(chǔ)設(shè)施，好在它是逐步進行的，因此來自 CERT-UA 的歷史數(shù)據(jù)，可以幫助 Recorded Future 團隊把當前的攻擊行動與沙蟲聯(lián)系起來。

舉一個例子，CERT-UA 在 2022 年 6 月發(fā)現(xiàn)的域名 “datagroup[.]ddns[.net”，它偽裝成烏克蘭電信運營商Datagroup 的在線門戶。另一個受害烏克蘭電信服務(wù)提供商 Kyivstar，Sandworm 為其使用了 "kyiv-star[.]ddns[.net "和 "kievstar[.]online "。

最近的發(fā)生的案例是 “ett[.]ddns[.]net ”和 “ett[.]hopto[.]org”，這很可能是攻擊者試圖模仿另一個烏克蘭電信運營商 EuroTransTelecom LLC 的在線平臺。

可以看出許多域解析為新的 IP 地址，但在某些情況下，與可追溯到 2022 年 5 月的 Sandworm 活動有重疊。

自 2022 年 5 月以來 Sandworm 使用的基礎(chǔ)設(shè)施 IP 地址

感染鏈

攻擊開始時引誘受害者訪問這些域名，之后通過這些域名發(fā)出電子郵件，使其看起來發(fā)件人是烏克蘭電信供應(yīng)商。這些網(wǎng)站使用烏克蘭語，呈現(xiàn)的主題主要涉及軍事行動、行政通知、報告等。

Recorded Future 觀察到最常見的網(wǎng)頁是包含文本“ОДЕСЬКА ОБЛАСНА В?ЙСЬКОВА АДМ?Н?СТРАЦ?Я”的網(wǎng)頁，翻譯為“敖德薩地區(qū)軍事管理局”。網(wǎng)頁 HTML 包含一個 base64 編碼的 ISO 文件，當使用 HTML 仿問該網(wǎng)站時會自動下載該文件。

圖片文件中包含的有效載荷 Warzone RAT，這是一種創(chuàng)建于 2018 年并在 2019 年達到頂峰的惡意軟件，Sandworm 用它來取替代其前幾個月部署的 DarkCrystal RAT。

當前，WarZone RAT 惡意軟件可能已經(jīng)過時，但它仍然提供強大的功能，如 UAC 繞過、隱藏的遠程桌面、cookie 和密碼竊取、實時鍵盤記錄、文件操作、反向代理、遠程外殼 (CMD) 和進程管理等。

參考文章：https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/