近日安全研究人員發(fā)現(xiàn)，俄羅斯國(guó)家政府撐腰的黑客組織Sandworm（“沙蟲(chóng)”）冒充電信提供商，利用惡意軟件攻擊烏克蘭實(shí)體。

Sandworm是國(guó)家政府撐腰的一伙威脅分子，美國(guó)政府將其歸入為俄羅斯GRU外國(guó)軍事情報(bào)部門(mén)的一部分。

據(jù)信這個(gè)高級(jí)持續(xù)性威脅（APT）黑客組織在今年已發(fā)動(dòng)了多起攻擊，包括攻擊烏克蘭能源基礎(chǔ)設(shè)施以及部署一個(gè)名為“Cyclops Blink”的持續(xù)性僵尸網(wǎng)絡(luò)。

從2022年8月開(kāi)始，私有網(wǎng)絡(luò)安全公司Recorded Future的研究人員觀察到Sandworm指揮和控制（C2）基礎(chǔ)設(shè)施有所增加，這種基礎(chǔ)設(shè)施使用偽裝成烏克蘭電信服務(wù)提供商的動(dòng)態(tài)DNS域。

最近的多起活動(dòng)旨在將Colibri Loader和Warzone RAT（遠(yuǎn)程訪問(wèn)木馬）等大眾化惡意軟件部署到烏克蘭的關(guān)鍵系統(tǒng)上。

Colibri Loader由Insikt Group于2021年8月首次報(bào)告，它是由用戶(hù)“c0d3r_0f_shr0d13ng3r”在XSS論壇上租用的大眾化惡意軟件。它是用匯編語(yǔ)言和C語(yǔ)言編寫(xiě)的，旨在攻擊沒(méi)有任何依賴(lài)關(guān)系的Windows操作系統(tǒng)。2022年3月11日，Cloudsek的研究人員稱(chēng)Colibri Loader是“一種用于將更多類(lèi)型的惡意軟件加載到受感染系統(tǒng)上的惡意軟件”，它采用“多種有助于避免檢測(cè)的技術(shù)”。 2022年4月5日，Malwarebytes的研究人員也報(bào)告了Colibri Loader的活動(dòng)，進(jìn)一步詳細(xì)說(shuō)明了它的功能，包括“將惡意載荷投放到受感染計(jì)算機(jī)上并管理惡意載荷”的能力。

Warzone RAT（也稱(chēng)為Ave Maria Stealer）是一種流行的大眾化遠(yuǎn)程訪問(wèn)工具（RAT），自2018年以來(lái)一直在積極開(kāi)發(fā)中。它在地下論壇和其開(kāi)發(fā)者的網(wǎng)站warzone[.]ws上均有售。該惡意軟件號(hào)稱(chēng)是使用C/C++開(kāi)發(fā)的功能齊全的RAT，聲稱(chēng)“易于使用，且高度可靠”。

新的Sandworm基礎(chǔ)設(shè)施

雖然Sandworm已大幅更新了其C2基礎(chǔ)設(shè)施，但這種更新是逐步進(jìn)行的，因此烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT-UA）報(bào)告中的歷史數(shù)據(jù)使Recorded Future得以將當(dāng)前的惡意活動(dòng)與這伙威脅分子聯(lián)系起來(lái)，并且有很大的把握。

一個(gè)例子是CERT-UA在2022年6月發(fā)現(xiàn)的域“datagroup[.]ddns[.]net”，該域偽裝成烏克蘭電信運(yùn)營(yíng)商Datagroup的在線(xiàn)門(mén)戶(hù)。

另一家被欺騙的烏克蘭電信服務(wù)提供商是Kyivstar，Sandworm使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”這兩個(gè)域來(lái)冒充Kyivstar。

最近的一個(gè)案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”，很可能是企圖冒充另一家烏克蘭電信運(yùn)營(yíng)商EuroTransTelecom LLC的在線(xiàn)平臺(tái)。

其中許多域解析為新的IP地址，但在一些情況下，與Sandworm可追溯到2022年5月的之前活動(dòng)有重疊。

。

圖1. 自2022年5月以來(lái)Sandworm使用的基礎(chǔ)設(shè)施的IP地址（來(lái)源：Recorded Future）

感染鏈

攻擊一開(kāi)始，威脅分子引誘受害者訪問(wèn)這些域，通常是通過(guò)從這些域發(fā)送的電子郵件來(lái)引誘，發(fā)件人看起來(lái)像是烏克蘭的某家電信提供商。

這些網(wǎng)站使用的語(yǔ)言是烏克蘭語(yǔ)，呈現(xiàn)的主題涉及軍事行動(dòng)、行政通知和報(bào)告等。

Recorded Future看到的最常見(jiàn)的網(wǎng)頁(yè)是含有文本“ОДЕСЬКА ОБЛАСНА В?ЙСЬКОВА АДМ?Н?СТРАЦ?Я”的網(wǎng)頁(yè)，翻譯過(guò)來(lái)就是“敖德薩地區(qū)軍事管理局”。

該網(wǎng)頁(yè)的HTML包含一個(gè)base64編碼的ISO映像文件，使用HTML挾帶（HTML smuggling）技術(shù)訪問(wèn)該網(wǎng)站時(shí)，這個(gè)文件就會(huì)自動(dòng)下載。

圖2. 含有經(jīng)過(guò)混淆處理的ISO文件的惡意HTML（來(lái)源：Recorded Future）

值得注意的是，幾個(gè)俄羅斯國(guó)家政府撐腰的黑客組織采用了HTML挾帶技術(shù)，最近的一個(gè)例子是APT29。

該映像文件中包含的惡意載荷是Warzone RAT，這是創(chuàng)建于2018年的惡意軟件，在2019年達(dá)到了頂峰期。Sandworm使用Warzone RAT替換了在前幾個(gè)月部署的DarkCrystal RAT。

俄羅斯黑客可能希望通過(guò)使用廣泛可用的惡意軟件，并希望自己的蹤跡“消失得無(wú)影無(wú)蹤”，從而使安全分析師跟蹤分析起來(lái)更困難。

WarZone RAT惡意軟件可能已經(jīng)過(guò)時(shí)，但它依然提供諸多強(qiáng)大的功能，比如UAC繞過(guò)、隱藏的遠(yuǎn)程桌面、cookie及密碼竊取、實(shí)時(shí)鍵盤(pán)記錄程序、文件操作、反向代理、遠(yuǎn)程外殼（CMD） 和進(jìn)程管理。

本文翻譯自：https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/如若轉(zhuǎn)載，請(qǐng)注明原文地址。