俄罗斯 Sandworm 黑客瞄准了乌克兰 20 个关键组织

扫码领资料

获网安教程

根据乌克兰计算机紧急响应小组 (CERT-UA) 的报告，俄罗斯黑客组织 Sandworm 破坏了乌克兰约 20 个关键基础设施的运行。

该组织也被称为 BlackEnergy、Seashell Blizzard、Voodoo Bear 和 APT44，据信与俄罗斯武装部队总参谋部 (GRU) 有关，对各种目标进行网络间谍活动和破坏性攻击。

CERT-UA 报告称，2024 年 3 月，APT44 进行了破坏乌克兰 10 个地区能源、水和供暖供应商信息和通信系统的行动。在某些情况下，黑客能够通过毒害供应链来提供虚假或存在漏洞的软件，或者通过软件提供商访问组织系统进行维护和技术支持的权限来渗透目标网络。

Sandworm 还将之前记录的恶意软件与新的恶意工具（Linux 的 BIASBOAT 和 LOADGRIP）结合起来，以获取访问权限并在网络上横向移动。

乌克兰机构指出，由于目标网络安全实践不佳（例如缺乏网络分段和软件供应商层面的防御不足），Sandworm 的攻击变得更加容易。

2024年3月7日至15日，CERT-UA开展了广泛的反网络攻击行动，其中包括通知受影响的企业、删除恶意软件和加强安全措施。

根据调查从受感染实体检索的日志的结果，Sandworm 主要依靠以下恶意软件对乌克兰的公用事业供应商进行攻击：

• QUEUESEED/IcyWell/Kapeka：Windows 的 C++ 后门，用于收集基本系统信息并从远程服务器执行命令。它处理文件操作、命令执行和配置更新，并且可以删除自身。通信通过 HTTPS 进行保护，数据使用 RSA 和 AES 进行加密。它通过加密 Windows 注册表中的配置并设置自动执行的任务或注册表项来存储数据并在受感染的系统上保持持久性。

QUEUESEED 计划执行 (CERT-UA)

• BIASBOAT（新）：最近出现的 QUEUESEED 的 Linux 变种。它伪装成加密文件服务器并与 LOADGRIP 一起运行。

• LOADGRIP（新）：也是用 C 开发的 QUEUESEED 的 Linux 变种，用于使用 ptrace API 将有效负载注入到进程中。有效负载通常是加密的，解密密钥源自常量和机器特定的 ID。

加载 BIASBOAT 和 LOADGRIP (CERT-UA)的 Bash 脚本

• GOSSIPFLOW：基于 Go 的恶意软件在 Windows 上使用 Yamux 多路复用器库设置隧道；它提供 SOCKS5 代理功能，帮助窃取数据并确保与命令和控制服务器的通信安全。

CERT-UA 在调查期间发现的其他恶意工具来自开源领域，包括 Weevly webshell、Regeorg.Neo、Pitvotnacci 和 Chisel 隧道程序、LibProcessHider、JuicyPotatoNG 和 RottenPotatoNG。

攻击者使用这些工具来维持持久性、隐藏恶意进程并提升其在受感染系统上的权限。

乌克兰机构认为，这些袭击的目的是增强俄罗斯导弹对目标基础设施的打击效果。

原文地址：https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-targeted-20-critical-orgs-in-ukraine/

图片来源：https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-targeted-20-critical-orgs-in-ukraine/

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，
所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！
分享本文到朋友圈，可以凭截图找老师领取
上千教程+工具+靶场账号哦
原文始发于微信公众号（掌控安全EDU）：俄罗斯 Sandworm 黑客瞄准了乌克兰 20 个关键组织