俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件

admin 2022年9月21日12:00:59安全新闻评论3 views1573字阅读5分14秒阅读模式

俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件

据观察,与俄罗斯有关的黑客组织 Sandworm 伪装成电信提供商,以恶意软件攻击乌克兰实体。美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。据悉,APT 黑客组织在今年发起了多次攻击,包括对乌克兰能源基础设施的攻击以及名为“ Cyclops Blink ” 的持久僵尸网络的部署。

 

从2022年8月开始,Recorded Future的研究人员就观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT(远程访问木马)等商品恶意软件部署到关键的乌克兰系统上。


新的沙虫基础设施


虽然 Sandworm 已显着更新了其 C2 基础设施,但它是逐步更新的,因此 CERT-UA 报告中的历史数据使 Recorded Future 能够将当前操作与威胁行为者联系起来。

 

一个例子是 CERT-UA于 2022 年 6 月发现的域“datagroup[.]ddns[.]net”  ,伪装成乌克兰电信运营商 Datagroup 的在线门户。

 

另一个被欺骗的乌克兰电信服务提供商是 Kyivstar,Sandworm 使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”的外观。

 

最近的案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”,很可能是为了模仿另一家乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。

 

其中许多域解析为新的 IP 地址,但在某些情况下,与可追溯到 2022 年 5 月的过去 Sandworm 活动有重叠。

 

俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件


感染链


攻击首先引诱受害者访问这些域,通常是通过从这些域发送的电子邮件,使发件人看起来像是乌克兰的电信提供商。这些网站使用的语言是乌克兰语,呈现的主题涉及军事行动、行政通知、报告等。

 

Recorded Future 看到的最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页,翻译为“敖德萨地区军事管理局”。

 

网页的 HTML 包含一个 base64 编码的 ISO 文件,当使用 HTML 走私技术访问网站时会自动下载该文件。


俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件


值得注意的是,几个俄罗斯国家资助的黑客组织使用 HTML 走私,最近的一个例子是 APT29。

 

图像文件中包含的有效载荷是 Warzone RAT,这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件。Sandworm 使用它来替换他们在前几个月部署的 DarkCrystal RAT。

 

可能是,俄罗斯黑客希望通过使用广泛可用的恶意软件并希望他们的踪迹“消失在噪音中”,从而使安全分析师的跟踪和归因更加困难。

 

WarZone RAT 恶意软件可能已经过时,但它仍然提供强大的功能,如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理。


此外,Palo Alto 的 Unit42 的一份报告详细介绍了 APT29 在单独的活动中使用的类似 HTML Smuggling 例程来下载 ISO 文件,如下图 11所示。APT29 最初使用此例程是用于二进制数组,这有助于潜在地阐明 UAC-0113 的冗余 for 循环的原始目的。APT29 的 HTML 和 JavaScript 代码与上面图 10中所示的 UAC-0113 链接示例有类似的重叠。


详细报告扫描下方二维码加入社群,即可获得!

俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件

精彩推荐

美国国土安全部宣布首个针对各州地区网络安全拨款10亿美元的计划

2022.09.20

俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件

Uber被黑,内部系统和机密文件均遭到破坏

2022.09.19

俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件

美国最新授权法案首次为海上运输系统提供网络安全

2022.09.15

俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件

俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件

俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件

注:本文由E安全编译报道,转载请联系授权并注明来源

原文始发于微信公众号(E安全):俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月21日12:00:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件 http://cn-sec.com/archives/1309623.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: