俄罗斯 Sandworm 黑客瞄准了乌克兰 20 个关键组织

阅读量35251

发布时间 : 2024-04-23 10:54:08

乌克兰CERT-UA政府计算机应急响应小组披露了Sandworm组织的恶意计划,旨在破坏约20个能源、水和热力供应(OKI)的信息和通信系统(ICS)的稳定运行。 )乌克兰十个地区的企业。

除了自 2022 年以来已知的 QUEUESEED(KNUCKLETOUCH、ICYWELL、WRONGSENS、KAPEKA)后门之外,还发现攻击者在立即事件响应期间安装了新工具,即 LOADGRIP 和 BIASBOAT(QUEUESEED 的 Linux 变体)。计算机(Linux操作系统)设计用于使用国内生产的专用软件(SPZ)实现工艺过程管理(ASUTP)过程的自动化。值得注意的是,BIASBOAT 是作为针对特定服务器的加密文件呈现的,攻击者使用了之前获得的“machine-id”值。

CERT-UA 专家已经确认了至少三个“供应链”受到损害的事实,与此相关的是,最初未经授权的访问的情况要么与包含软件书签和漏洞的 SDR 的安装有关,要么与 SDR 的安装有关。由于供应商员工的全职技术能力能够访问 ICS 组织以获得支持和技术支持。

考虑到 OKI ICS 内带有 SDR 的 PC 的运行,犯罪分子利用它们进行横向移动并开发与企业网络相关的网络攻击。例如,在此类计算机的 SDR 目录中发现了预先创建的 PHP Web shell WEEVELY、PHP 隧道 REGEORG.NEO 或 PIVOTNACCI。

在2024年3月7日至2024年3月15日期间,CERT-UA专家采取措施通知所有已识别的企业,并调查和应对相关ICS中的网络威胁,其中确定了主要危害的情况,恶意软件被删除和分析,构建事件事件年表,提供服务器和活动网络设备配置方面的帮助,并安装安全技术(在一些企业中,LOADGRIP/BIASBOAT于2023年创建)。

应该强调的是,攻击者在运行 Windows 操作系统的 PC 上使用了恶意软件 QUEUESEED 和 GOSSIPFLOW,自 2022 年以来,在 UAC-0133 组织对供水设施进行破坏性网络攻击的背景下,这些软件一直被追踪,特别是使用 SDELETE 。因此,UAC-0133 是 UAC-0002 (Sandworm/APT44) 的子簇,具有很高的置信度。

请注意,以下因素促成了网络攻击的实施:

在限制访问/访问互联网和组织本身的 ICS(它们在其中发挥作用)的情况下,服务器与供应商 SDR 的服务器不正确的分割(缺乏隔离),用作 ACS 的一个要素
供应商对向消费者提供的软件安全的疏忽态度;特别是,在对源代码进行粗略分析时,会发现允许远程代码执行(RCE)的平庸漏洞。
CERT-UA 假设,未经授权访问大量供热、供水和能源供应设施的 ICS,将用于增强 2024 年春季导弹袭击乌克兰基础设施的效果。

QUEUESEED是一个使用C++编程语言开发的恶意程序。获取有关计算机的基本信息(操作系统、语言、用户名),执行从管理服务器接收的命令并发送结果。功能:读/写文件、执行命令(作为单独的进程或通过 %COMSPEC% /c)、更新配置、自删除。 HTTPS 用于与管理服务器交互。数据以JSON格式传输,并使用RSA+AES加密。后门的配置文件,特别是包含管理服务器的 URL,使用 AES 加密(密钥在程序中静态设置)。实现了未处理的传入命令/结果的队列 – 它以 AES 加密形式存储在 Windows 注册表中(%MACHINEGUID% 值用作密钥)。后门持久性由植入程序提供,该植入程序在 Windows 注册表的“运行”分支中创建相应的计划任务或条目。

BIASBOAT – 使用 C 编程语言开发的恶意程序 (ELF),是 QUEUESEED 的 Linux 变体。使用 LOADGRIP 注入器在计算机上启动。

LOADGRIP 是使用 C 编程语言开发的恶意程序(ELF),主要功能是使用 ptrace API 通过注入来启动有效负载。有效负载通常以加密形式(AES128-CBC)呈现,其解密密钥是根据代码中静态输入的常量和计算机的“machine-id”值形成的。

GOSSIPFLOW是一个使用Go编程语言开发的恶意程序。提供隧道构建(使用 Yamux 多路复用器库)并执行 SOCKS5 代理功能。

本文转载自:

如若转载,请注明出处: https://cert.gov.ua/article/6278706

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66