黑客组织“沙虫”冒充电信提供商，攻击乌克兰实体

据观察，俄罗斯资助的黑客组织 Sandworm（沙虫） 伪装成电信提供商，对乌克兰实体实施恶意软件攻击。据了解，近年来黑客组织Sandworm已经对乌克兰实施了多起网络攻击，包括曾对乌克兰能源基础设施进行持续性的僵尸网络攻击活动。

关于黑客组织Sandworm（沙虫）

Sandworm是具有国家背景的APT组织，美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。Sandworm是负责创建和运营Cyclops Blink 僵尸网络的组织，这是一种依赖固件操作的高度持久性恶意软件。在过去几年中，沙虫一直以乌克兰为目标，尤其在俄罗斯入侵乌克兰后，其攻击频率明显增加。

黑客组织Sandworm伪装成乌克兰电信公司

从 2022 年 8 月开始，  Recorded Future的研究人员 观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT（远程访问木马）等商品恶意软件部署到关键的乌克兰系统上。

新的沙虫基础设施

据了解， Sandworm 更新了其 C2 基础设施，但它是逐步更新的，因此 CERT-UA 报告中的历史数据，可以帮助 Recorded Future团队把当前的攻击行动与沙虫联系起来。

举一个例子，CERT-UA 在 2022 年 6 月发现的域名 “datagroup[.]ddns[.net”，它伪装成乌克兰电信运营商Datagroup 的在线门户。另一个受害乌克兰电信服务提供商 Kyivstar，Sandworm 为其使用了 "kyiv-star[.]ddns[.net "和 "kievstar[.]online "。

最近的发生的案例是 “ett[.]ddns[.]net ”和 “ett[.]hopto[.]org”，这很可能是攻击者试图模仿另一个乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。

可以看出许多域解析为新的 IP 地址，但在某些情况下，与可追溯到 2022 年 5 月的 Sandworm 活动有重叠。

感染链

自 2022 年 5 月以来 ，感染链攻击首先引诱受害者访问这些域，通常是通过从这些域发送的电子邮件，使发件人看起来像是乌克兰的电信提供商。这些网站使用的语言是乌克兰语，呈现的主题涉及军事行动、行政通知、报告等。

Recorded Future 看到的最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页，翻译为“敖德萨地区军事管理局”。网页的 HTML 包含一个 base64 编码的 ISO 文件，当使用 HTML 走私技术访问网站时会自动下载该文件。

图片文件中包含的有效载荷 Warzone RAT，这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件，Sandworm 用它来取替代其前几个月部署的 DarkCrystal RAT。

WarZone RAT 恶意软件可提供UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理等功能，虽然它可能已经过失，但是具有一定的威胁性。

如何防止恶意软件攻击？

对于个人而言，防止恶意软件攻击，要时刻保持警惕，提高网络安全意识。同时，不要随意点击未知链接，不轻易打开邮件附件，对不熟悉的社交对象保持警惕，时刻注重个人隐私；将一些重要的个人信息发布到社交媒体要小心，在一些需要填写真实信息内容的地方要谨慎确认，注意保护个人信息安全。