ΑρχικήsecurityΗ ρωσική ομάδα Sandworm μεταμφιέζεται σε Ουκρανικές telcos για να κάνει drop...

Η ρωσική ομάδα Sandworm μεταμφιέζεται σε Ουκρανικές telcos για να κάνει drop malware

Η ρωσική κρατική ομάδα hacking, γνωστή ως Sandworm, έχει παρατηρηθεί να μεταμφιέζεται σε πάροχους τηλεπικοινωνιών για να στοχεύσει ουκρανικές οντότητες με malware.

Δείτε επίσης: Zoom: Το CERT-In προειδοποιεί τους χρήστες για ευπάθειες

Η ομάδα Sandworm είναι ένας υποστηριζόμενος από το κράτος απειλητικός παράγοντας που αποδίδεται από την κυβέρνηση των ΗΠΑ ως μέρος της ρωσικής υπηρεσίας ξένων στρατιωτικών πληροφοριών GRU.

Η ομάδα hacking APT πιστεύεται ότι βρίσκεται πίσω από πολυάριθμες επιθέσεις που πραγματοποιήθηκαν φέτος, συμπεριλαμβανομένης μιας επίθεσης στην ουκρανική ενεργειακή υποδομή και την ανάπτυξη ενός persistent botnet που ονομάζεται “Cyclops Blink”.

Από τον Αύγουστο του 2022, οι ερευνητές στο Recorded Future παρατήρησαν μια αύξηση στην υποδομή command and control (C2) της Sandworm που χρησιμοποιεί δυναμικά DNS domains που μεταμφιέζονται σε Ουκρανούς παρόχους τηλεπικοινωνιακών υπηρεσιών.

Οι πρόσφατες καμπάνιες στοχεύουν να αναπτύξουν commodity malware όπως το Colibri Loader και το Warzone RAT (remote access trojan) σε κρίσιμα συστήματα της Ουκρανίας.

Δείτε επίσης: Η Uber συνδέει την πρόσφατη επίθεση με την ομάδα Lapsus$

Νέα υποδομή Sandworm

Ενώ η ομάδα Sandworm ανανέωσε σημαντικά την υποδομή C2 της, το έκανε σταδιακά, έτσι τα ιστορικά δεδομένα από τις αναφορές CERT-UA επέτρεψαν στο Recorded Future να συνδέσει τις τρέχουσες λειτουργίες με τον απειλητικό παράγοντα.

Ένα παράδειγμα είναι το domain “datagroup[.]ddns[.]net,” που εντοπίστηκε από την CERT-UA τον Ιούνιο του 2022, μεταμφιεσμένο σε online portal για την Datagroup, έναν ουκρανικό φορέα τηλεπικοινωνιών.

Ένας άλλος spoofed πάροχος τηλεπικοινωνιακών υπηρεσιών της Ουκρανίας είναι ο Kyivstar, για τον οποίο η Sandworm χρησιμοποιεί τα facades “kyiv-star[.]ddns[.]net” και “kievstar[.]online.”

Η πιο πρόσφατη περίπτωση είναι αυτή των «ett[.]ddns[.]net» και «ett[.]hopto[.]org», πολύ πιθανόν μια προσπάθεια μίμησης της διαδικτυακής πλατφόρμας της EuroTransTelecom LLC, ενός άλλου ουκρανικού τηλεπικοινωνιακού φορέα.

Πολλά από αυτά τα domain κατευθύνονται σε νέες διευθύνσεις IP, αλλά σε ορισμένες περιπτώσεις, υπάρχουν overlaps με προηγούμενες καμπάνιες Sandworm που χρονολογούνται από τον Μάιο του 2022.

Αλυσίδα μόλυνσης

Η επίθεση ξεκινά με το να δελεάζει τα θύματα να επισκεφτούν τα domain, συνήθως μέσω email που αποστέλλονται από αυτά τα domain, ώστε να φαίνεται ότι ο αποστολέας είναι ουκρανικός πάροχος τηλεπικοινωνιών.

Η γλώσσα που χρησιμοποιείται σε αυτούς τους ιστότοπους είναι η Ουκρανική και τα θέματα που παρουσιάζονται αφορούν στρατιωτικές επιχειρήσεις, ειδοποιήσεις διοίκησης, εκθέσεις κ.λπ.

Η πιο κοινή ιστοσελίδα που βλέπει το Recorded Future είναι αυτή που περιέχει το κείμενο “ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦЯ”, το οποίο μεταφράζεται σε “Περιφερειακή Στρατιωτική Διοίκηση της Οδησσού”.

Δείτε επίσης: Η American Airlines αποκάλυψε παραβίαση δεδομένων

Το HTML της ιστοσελίδας περιέχει ένα αρχείο ISO base64-encoded, το οποίο λαμβάνεται αυτόματα όταν επισκέπτεστε τον ιστότοπο χρησιμοποιώντας την τεχνική HTML smuggling.​

Sandworm

Σημειωτέον, το HTML smuggling χρησιμοποιείται από πολλές ομάδες hacking που χρηματοδοτούνται από το ρωσικό κράτος, με πρόσφατο παράδειγμα την APT29.

Το payload που περιέχεται στο αρχείο εικόνας είναι το Warzone RAT, ένα malware που δημιουργήθηκε το 2018 και έφτασε στο απόγειο της δημοτικότητας το 2019. Η ομάδα Sandworm το χρησιμοποιεί για να αντικαταστήσει το DarkCrystal RAT που ανέπτυξε τους προηγούμενους μήνες.

Ενδεχομένως, οι Ρώσοι χάκερ θέλουν να κάνουν την παρακολούθηση πιο δύσκολη για τους αναλυτές ασφαλείας χρησιμοποιώντας ευρέως διαθέσιμο κακόβουλο λογισμικό και ελπίζοντας ότι τα ίχνη τους «θα χαθούν μέσα στην όλη βαβούρα».

Το WarZone RAT malware μπορεί να είναι παλιό, αλλά εξακολουθεί να προσφέρει ισχυρές δυνατότητες όπως UAC bypass, κρυφό remote desktop, κλοπή των cookies και των password, live keylogger, reverse proxy, remote shell (CMD) και διαχείριση διεργασιών.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS