俄罗斯Sandworm黑客冒充乌克兰电信公司投放恶意软件

近日安全研究人员发现，俄罗斯国家政府撑腰的黑客组织Sandworm（“沙虫”）冒充电信提供商，利用恶意软件攻击乌克兰实体。 Sandworm是国家政府撑腰的一伙威胁分子，美国政府将其归入为俄罗斯GRU外国军事情报部门的一部分。 据信这个高级持续性威胁（APT）黑客组织在今年已发动了多起攻击，包括攻击乌克兰能源基础设施以及部署一个名为“Cyclops Blink”的持续性僵尸网络。 从2022年8月开始，私有网络安全公司Recorded Future的研究人员观察到Sandworm指挥和控制（C2）基础设施有所增加，这种基础设施使用伪装成乌克兰电信服务提供商的动态DNS域。 最近的多起活动旨在将Colibri Loader和Warzone RAT（远程访问木马）等大众化恶意软件部署到乌克兰的关键系统上。 Colibri Loader由Insikt Group于2021年8月首次报告，它是由用户“c0d3r_0f_shr0d13ng3r”在XSS论坛上租用的大众化恶意软件。它是用汇编语言和C语言编写的，旨在攻击没有任何依赖关系的Windows操作系统。2022年3月11日，Cloudsek的研究人员称Colibri Loader是“一种用于将更多类型的恶意软件加载到受感染系统上的恶意软件”，它采用“多种有助于避免检测的技术”。 2022年4月5日，Malwarebytes的研究人员也报告了Colibri Loader的活动，进一步详细说明了它的功能，包括“将恶意载荷投放到受感染计算机上并管理恶意载荷”的能力。 Warzone RAT（也称为Ave Maria Stealer）是一种流行的大众化远程访问工具（RAT），自2018年以来一直在积极开发中。它在地下论坛和其开发者的网站warzone[.]ws上均有售。该恶意软件号称是使用C/C++开发的功能齐全的RAT，声称“易于使用，且高度可靠”。

新的Sandworm基础设施

虽然Sandworm已大幅更新了其C2基础设施，但这种更新是逐步进行的，因此乌克兰计算机应急响应小组（CERT-UA）报告中的历史数据使Recorded Future得以将当前的恶意活动与这伙威胁分子联系起来，并且有很大的把握。 一个例子是CERT-UA在2022年6月发现的域“datagroup[.]ddns[.]net”，该域伪装成乌克兰电信运营商Datagroup的在线门户。 另一家被欺骗的乌克兰电信服务提供商是Kyivstar，Sandworm使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”这两个域来冒充Kyivstar。 最近的一个案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”，很可能是企图冒充另一家乌克兰电信运营商EuroTransTelecom LLC的在线平台。 其中许多域解析为新的IP地址，但在一些情况下，与Sandworm可追溯到2022年5月的之前活动有重叠。 。 图1. 自2022年5月以来Sandworm使用的基础设施的IP地址（