Sandworm olarak bilinen Rus devlet destekli hack grubunun, Ukraynalı varlıkları kötü amaçlı yazılımlarla hedef almak için telekomünikasyon sağlayıcıları gibi davrandığı gözlemlendi.
Sandworm, ABD hükümeti tarafından Rus GRU dış askeri istihbarat servisinin bir parçası olarak atfedilen devlet destekli bir tehdit aktörüdür.
APT hack grubunun bu yıl çok sayıda saldırının arkasında olduğuna inanılıyor. Ukrayna enerji altyapısı ve ” adlı kalıcı bir botnet’in konuşlandırılmasıTepegöz Yanıp Söner“
Ağustos 2022’den itibaren araştırmacılar, Kaydedilmiş Gelecek Ukrayna telekomünikasyon hizmet sağlayıcıları gibi görünen dinamik DNS etki alanlarını kullanan Sandworm komuta ve kontrol (C2) altyapısında bir artış gözlemlediler.
Son kampanyalar, Colibri Loader ve Warzone RAT (uzaktan erişim truva atı) gibi emtia kötü amaçlı yazılımlarını kritik Ukrayna sistemlerine dağıtmayı amaçlıyor.
Yeni Sandworm altyapısı
Sandworm, C2 altyapısını önemli ölçüde yenilerken, bunu yavaş yavaş yaptı, bu nedenle CERT-UA raporlarından elde edilen geçmiş veriler, Kayıtlı Geleceğin mevcut operasyonları tehdit aktörüne güçlü bir güvenle bağlamasını sağladı.
Bir örnek, “veri grubu[.]ddns[.]net”, CERT-UA tarafından tespit edildi Haziran 2022’deUkraynalı bir telekomünikasyon taşıyıcısı olan Datagroup için çevrimiçi bir portal gibi görünüyor.
Bir başka sahte Ukrayna telekomünikasyon hizmetleri sağlayıcısı, Sandworm’un “kyiv-star” cephelerini kullandığı Kyivstar’dır.[.]ddns[.]net” ve “kievstar[.]internet üzerinden.”
Daha yakın tarihli bir vaka, “ett[.]ddns[.]net” ve “et[.]hopto[.]org,” büyük olasılıkla başka bir Ukraynalı telekom operatörü olan EuroTransTelecom LLC’nin çevrimiçi platformunu taklit etme girişimi.
Bu alan adlarının çoğu yeni IP adreslerine çözümlenir, ancak bazı durumlarda Mayıs 2022’ye kadar uzanan geçmiş Sandworm kampanyalarıyla çakışmalar olabilir.
Enfeksiyon zinciri
Saldırı, kurbanları, gönderenin Ukraynalı bir telekomünikasyon sağlayıcısı gibi görünmesini sağlamak için, genellikle bu alanlardan gönderilen e-postalar aracılığıyla alanları ziyaret etmeye teşvik ederek başlar.
Bu sitelerde kullanılan dil Ukraynacadır ve sunulan konular askeri operasyonlar, yönetim bildirimleri, raporlar vb. ile ilgilidir.
Recorded Future tarafından görülen en yaygın web sayfası, “Odesa Bölgesel Askeri Yönetimi” anlamına gelen “ODESA BÖLGESEL ASKERİ YÖNETİM” metnini içeren bir sayfadır.
Web sayfasının HTML’si, web sitesi ziyaret edildiğinde otomatik olarak indirilen, base64 kodlu bir ISO dosyası içerir. HTML kaçakçılığı tekniği.
Özellikle, HTML kaçakçılığı, birkaç Rus devlet destekli bilgisayar korsanlığı grubu tarafından kullanılmaktadır ve yakın tarihli bir örnek şu şekildedir: APT29.
Görüntü dosyasında bulunan yük, 2018’de oluşturulan ve en yüksek popülerliğe 2019’da ulaşan bir kötü amaçlı yazılım olan Warzone RAT’dir. Sandworm, önceki aylarda dağıttıkları DarkCrystal RAT’ın yerine bunu kullanır.
Muhtemelen Rus bilgisayar korsanları, yaygın olarak bulunan kötü amaçlı yazılımları kullanarak ve izlerinin “gürültüde kaybolmasını” umarak güvenlik analistleri için izleme ve ilişkilendirmeyi daha zor hale getirmek istiyorlar.
WarZone RAT kötü amaçlı yazılımı eski olabilir, ancak yine de UAC atlama, gizli uzak masaüstü, çerez ve parola çalma, canlı keylogger, dosya işlemleri, ters proxy, uzak kabuk (CMD) ve süreç yönetimi gibi güçlü özellikler sunar.