Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
O grupo de hackers patrocinado pelo Estado russo conhecido como Sandworm foi observado disfarçado de provedores de telecomunicações para atacar entidades ucranianas com malware.
Sandworm é um ator de ameaças apoiado pelo Estado atribuído pelo governo dos EUA como parte do serviço de inteligência militar estrangeira GRU da Rússia.
Acredita-se que o grupo de hackers APT esteja por trás de vários ataques este ano, incluindo um ataque à infraestrutura de energia ucraniana e a implantação de uma botnet persistente chamada "Cyclops Blink".
A partir de agosto de 2022, pesquisadores da Recorded Future observaram um aumento na infraestrutura de comando e controle Sandworm (C2) que usa domínios DNS dinâmicos disfarçados de provedores de serviços de telecomunicações ucranianos.
Campanhas recentes visam implantar malware de commodities como Colibri Loader e o Warzone RAT (trojan de acesso remoto) em sistemas críticos ucranianos.
Nova infraestrutura Sandworm
Embora o Sandworm tenha atualizado significativamente sua infraestrutura C2, o fez gradualmente, de modo que os dados históricos dos relatórios do CERT-UA permitiram que o Recorded Future vinculasse as operações atuais com forte confiança ao agente da ameaça.
Um exemplo é o domínio "datagroup[.]ddns[.]net", identificado pelo CERT-UA em junho de 2022, disfarçado de portal on-line da Datagroup, uma operadora de telecomunicações ucraniana.
Outro provedor de serviços de telecomunicações ucraniano falsificado é Kyivstar, para o qual Sandworm usa as fachadas "kyiv-star[.]ddns[.]net" e "kievstar[.]online".
O caso mais recente é o de "ett[.]ddns[.]net" e "ett[.]hopto[.]org", muito provavelmente uma tentativa de imitar a plataforma online da EuroTransTelecom LLC, outra operadora de telecomunicações ucraniana.
Muitos desses domínios resolvem para novos endereços IP, mas, em alguns casos, há sobreposições com campanhas anteriores do Sandworm que datam de maio de 2022.
Endereços IP da infraestrutura usada pelo Sandworm desde maio de 2022 (futuro registrado)
Cadeia de infecção
O ataque começa atraindo as vítimas para visitar os domínios, geralmente por meio de e-mails enviados desses domínios, para fazer parecer que o remetente é um provedor de telecomunicações ucraniano.
O idioma utilizado nesses sites é o ucraniano, e os tópicos apresentados dizem respeito a operações militares, avisos administrativos, relatórios, etc.
A página da web mais comum vista pelo Recorded Future é aquela que contém o texto "ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ", que se traduz em "Administração Militar Regional de Odesa".
O HTML da página da Web contém um arquivo ISO codificado em base64 que é baixado automaticamente quando o site é visitado usando a técnica de contrabando de HTML.
HTML malicioso contendo ISO ofuscado (futuro gravado)
Notavelmente, o contrabando de HTML é usado por vários grupos de hackers patrocinados pelo estado russo, com um exemplo recente sendo o APT29.
A carga útil contida no arquivo de imagem é o Warzone RAT, um malware criado em 2018 e que atingiu o pico de popularidade em 2019. O Sandworm o usa para substituir o DarkCrystal RAT que eles implantaram nos meses anteriores.
Possivelmente, os hackers russos querem tornar o rastreamento e a atribuição mais difícil para os analistas de segurança usando malware amplamente disponível e esperando que seus rastros sejam "perdidos no barulho".
O malware WarZone RAT pode ser antigo, mas ainda oferece recursos poderosos, como um desvio do UAC, área de trabalho remota oculta, roubo de cookies e senhas, keylogger ao vivo, operações de arquivos, proxy reverso, shell remoto (CMD) e gerenciamento de processos.
Postar um comentário