无间道！"沙虫"组织冒充乌克兰电信公司投放恶意软件

Bleeping Computer 资讯网站披露，疑似俄罗斯资助的黑客组织 Sandworm（沙虫） 伪装成乌克兰电信提供商，以恶意软件攻击乌克兰实体。

衡东网站建设公司成都创新互联,衡东网站设计制作，有大型网站制作公司丰富经验。已为衡东1000+提供企业网站建设服务。企业网站搭建\成都外贸网站制作要多少钱，请找那个售后服务好的衡东做网站的公司定做！

沙虫是一个具有国家背景的 APT 组织，美国政府将其归为俄罗斯 GRU 外国军事情报部门的下属分支。据信，该 APT 黑客组织在今年发起了多次网络攻击，其中包括对乌克兰能源基础设施的攻击以及名为“Cyclops Blink”的持久僵尸网络。

Sandworm 伪装成乌克兰电信公司

2022 年 8 月开始，Recorded Future 的研究人员观察到，使用伪装成乌克兰电信服务提供商动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT（远程访问木马）等商品恶意软件部署到关键的乌克兰系统上。

新的 "沙虫 "基础设施

据悉，Sandworm 大幅刷新了其 C2 基础设施，好在它是逐步进行的，因此来自 CERT-UA 的历史数据，可以帮助 Recorded Future 团队把当前的攻击行动与沙虫联系起来。

举一个例子，CERT-UA 在 2022 年 6 月发现的域名 “datagroup[.]ddns[.net”，它伪装成乌克兰电信运营商Datagroup 的在线门户。另一个受害乌克兰电信服务提供商 Kyivstar，Sandworm 为其使用了 "kyiv-star[.]ddns[.net "和 "kievstar[.]online "。

最近的发生的案例是 “ett[.]ddns[.]net ”和 “ett[.]hopto[.]org”，这很可能是攻击者试图模仿另一个乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。

可以看出许多域解析为新的 IP 地址，但在某些情况下，与可追溯到 2022 年 5 月的 Sandworm 活动有重叠。

自 2022 年 5 月以来 Sandworm 使用的基础设施 IP 地址

感染链

攻击开始时引诱受害者访问这些域名，之后通过这些域名发出电子邮件，使其看起来发件人是乌克兰电信供应商。这些网站使用乌克兰语，呈现的主题主要涉及军事行动、行政通知、报告等。

Recorded Future 观察到最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页，翻译为“敖德萨地区军事管理局”。网页 HTML 包含一个 base64 编码的 ISO 文件，当使用 HTML 仿问该网站时会自动下载该文件。

图片文件中包含的有效载荷 Warzone RAT，这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件，Sandworm 用它来取替代其前几个月部署的 DarkCrystal RAT。

当前，WarZone RAT 恶意软件可能已经过时，但它仍然提供强大的功能，如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理等。

参考文章：https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/

名称栏目：无间道！"沙虫"组织冒充乌克兰电信公司投放恶意软件
文章来源：http://www.36103.cn/qtweb/news3/22253.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联