据观察,与俄罗斯有关的黑客组织 Sandworm 伪装成电信提供商,以恶意软件攻击乌克兰实体。美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。据悉,APT 黑客组织在今年发起了多次攻击,包括对乌克兰能源基础设施的攻击以及名为“ Cyclops Blink ” 的持久僵尸网络的部署。
从2022年8月开始,Recorded Future的研究人员就观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT(远程访问木马)等商品恶意软件部署到关键的乌克兰系统上。
新的沙虫基础设施
虽然 Sandworm 已显着更新了其 C2 基础设施,但它是逐步更新的,因此 CERT-UA 报告中的历史数据使 Recorded Future 能够将当前操作与威胁行为者联系起来。
一个例子是 CERT-UA于 2022 年 6 月发现的域“datagroup[.]ddns[.]net” ,伪装成乌克兰电信运营商 Datagroup 的在线门户。
另一个被欺骗的乌克兰电信服务提供商是 Kyivstar,Sandworm 使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”的外观。
最近的案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”,很可能是为了模仿另一家乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。
其中许多域解析为新的 IP 地址,但在某些情况下,与可追溯到 2022 年 5 月的过去 Sandworm 活动有重叠。
感染链
攻击首先引诱受害者访问这些域,通常是通过从这些域发送的电子邮件,使发件人看起来像是乌克兰的电信提供商。这些网站使用的语言是乌克兰语,呈现的主题涉及军事行动、行政通知、报告等。
Recorded Future 看到的最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页,翻译为“敖德萨地区军事管理局”。
网页的 HTML 包含一个 base64 编码的 ISO 文件,当使用 HTML 走私技术访问网站时会自动下载该文件。
值得注意的是,几个俄罗斯国家资助的黑客组织使用 HTML 走私,最近的一个例子是 APT29。
图像文件中包含的有效载荷是 Warzone RAT,这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件。Sandworm 使用它来替换他们在前几个月部署的 DarkCrystal RAT。
可能是,俄罗斯黑客希望通过使用广泛可用的恶意软件并希望他们的踪迹“消失在噪音中”,从而使安全分析师的跟踪和归因更加困难。
WarZone RAT 恶意软件可能已经过时,但它仍然提供强大的功能,如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理。
此外,Palo Alto 的 Unit42 的一份报告详细介绍了 APT29 在单独的活动中使用的类似 HTML Smuggling 例程来下载 ISO 文件,如下图 11所示。APT29 最初使用此例程是用于二进制数组,这有助于潜在地阐明 UAC-0113 的冗余 for 循环的原始目的。APT29 的 HTML 和 JavaScript 代码与上面图 10中所示的 UAC-0113 链接示例有类似的重叠。
详细报告扫描下方二维码加入社群,即可获得!
美国国土安全部宣布首个针对各州地区网络安全拨款10亿美元的计划
2022.09.20
2022.09.19
2022.09.15
注:本文由E安全编译报道,转载请联系授权并注明来源
