俄罗斯黑客组织Sandworm在乌克兰电信运营商投递恶意程序

最近的网络安全研究中发现，此前被认定为俄罗斯黑客组织的 Sandworm （沙虫）通过伪装成电信供应商在乌克兰传播恶意软件。

安全研究人员发现了隶属于 UAC-0113 的新基础设施，该基础设施伪装成 Datagroup 和 EuroTransTelecom 等运营商，向用户投放 Colibri loader 和 Warzone RAT 等攻击载荷。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，这些攻击载荷是先前发现的针对乌克兰的使用钓鱼邮件和以法律援助为主题的诱饵，针对乌克兰电信用户投放 DCRat 恶意程序。

Sandworm 沙虫黑客组织是一个具有破坏性的俄罗斯黑客组织，以实施诸如 2015 年和 2016 年针对乌克兰电网的攻击以及 2017 年的 NotPetya 攻击等黑客攻击而闻名。根据对攻击样本的取证分析，该组织被认为隶属于俄罗斯格鲁乌军事情报局的74455部队。

这个黑客组织也称为 Voodoo Bear（巫毒熊），于今年 4 月初第三次试图通过一种名为 Industroyer 的新变种恶意软件在乌克兰破坏高压变电等基础设施。

一个名为 Cyclops Blink 的新型模块化僵尸网络的幕后策划者也被指控为沙虫黑客组织所为，该僵尸网络控制了 WatchGuard 防火墙设备和华硕路由器。

安全研究人员表示，从 DarkCrystal RAT 到 Colibri Loader 和 Warzone RAT 的过渡来看，UAC-0113正在发展壮大，其恶意程序也在不断迭代升级。

这些恶意程序的投递采用了一种被称为HTML走私的秘密方式，HTML 走私是一种规避恶意软件传递技术，它利用合法的 HTML 和 JavaScript 功能来分发恶意软件并绕过传统的安全控制。