Un sottogruppo all’interno del famigerato gruppo di hacking sponsorizzato dallo stato russo noto come Sandworm è stato attribuito a un’operazione di accesso iniziale pluriennale soprannominata Badpilot che si estendeva in tutto il mondo.
“Questo sottogruppo ha condotto diversi compromessi di infrastrutture rivolte a Web per consentire alla Blizzard di mare di persistere su obiettivi di alto valore e di supporto alle operazioni di rete su misura”, il Microsoft minaccia Intelligence Group disse In un nuovo rapporto condiviso con Hacker Information prima della pubblicazione.
La diffusione geografica degli obiettivi del sottogruppo di accesso iniziale embody l’intero Nord America, diversi paesi in Europa, così come altri, tra cui Angola, Argentina, Australia, Cina, Egitto, India, Kazakistan, Myanmar, Nigeria, Pakistan, Turchia e Turchia Uzbekistan.
Lo sviluppo segna una significativa espansione dell’impronta della vittima del gruppo di hacking negli ultimi tre anni, che è altrimenti noto per essere concentrata nell’Europa orientale –
- 2022: settori dell’energia, della vendita al dettaglio, dell’istruzione, della consulenza e dell’agricoltura in Ucraina
- 2023: settori negli Stati Uniti, in Europa, Asia centrale e Medio Oriente che hanno fornito supporto materiale alla guerra in Ucraina o erano geopoliticamente significativi
- 2024: Entità negli Stati Uniti, Canada, Australia e Regno Unito
Sandworm è monitorato da Microsoft sotto il moniker SeaShell Blizzard (precedentemente Iridium) e dalla più ampia comunità di sicurezza informatica con i nomi APT44, Echidna blu, Frozenbarents, Twister grigio, Viking di ferro, razza di Ursa, Telebots, UAC-0002 e Voodoo Bear. Attivo dal almeno il 2013, il gruppo viene valutato per essere affiliato con l’Unità 74455 all’interno della direzione principale dello employees generale delle forze armate della Federazione Russa (GRU).
Il collettivo contraddittorio è stato descritto Di Mandiant di proprietà di Google come attore di minaccia “altamente adattivo” e “operativamente maturo” che si impegna in operazioni di spionaggio, attacco e influenza. Ha anche un monitor report di montaggio attacchi dirompenti e distruttivi contro l’Ucraina negli ultimi dieci anni.
Le campagne montate da sandworm sulla scia della guerra russo-ucraina hanno sfruttato i tergicristalli di dati (Killdisk aka HermeticWiper), pseudo-ransomware (Prestigio aka presstea) e backdoors (Kapeka), oltre alle famiglie di malware che consentono agli attori delle minacce di mantenere Accesso remoto persistente agli ospiti infetti tramite Ratto darkcrystal (aka dcrat).
È stato anche osservato facendo affidamento su una varietà di società russe e mercati criminali per procurarsi e sostenere le sue capacità offensive, evidenziando un tendenza in crescita di criminalità informatica che facilita l’hacking sostenuto dallo stato.
“Il gruppo ha utilizzato strumenti e infrastrutture di provenienza criminale come fonte di capacità usa e getta che possono essere operative con breve preavviso senza collegamenti immediati alle sue operazioni passate”, il Google Menace Intelligence Group (GTIG) disse in un’analisi.
“Dall’invasione su vasta scala della Russia in Ucraina, APT44 ha aumentato l’uso di tali strumenti, incluso malware come Darkcrystal Rat (DCRAT), WarzoneE Radthef (“Rhadamanthys Stealer”) e infrastrutture di internet hosting a prova di proiettile come quella fornita dall’attore di lingua russa “Yalishanda”, che pubblicizza nelle comunità criminali criminali “.
Microsoft ha affermato che il sottogruppo di sandworm è stato operativo almeno alla high quality del 2021, sfruttando vari difetti di sicurezza noti per ottenere l’accesso iniziale, seguito da una serie di azioni post-sfruttamento volte a raccogliere credenziali, ottenere l’esecuzione di comando e supportare il movimento laterale.
“Le operazioni osservate dopo l’accesso iniziale indicano che questa campagna ha consentito alla bufera di neve di mare di ottenere l’accesso a obiettivi globali in settori sensibili tra cui energia, petrolio e gasoline, telecomunicazioni, spedizione, produzione di armi, oltre ai governi internazionali”, ha osservato il colosso tecnologico.
“Questo sottogruppo è stato abilitato da una capacità di scalabile orizzontalmente rafforzata da exploit pubblicati che hanno permesso alla bufera di neve con mare di scoprire e compromettere numerosi sistemi rivolti a Web in una vasta gamma di regioni e settori geografici.”
Dall’inizio dell’anno scorso, si cube che il sotto-cluster abbia vulnerabilità armatizzate in ConnectWise ScreenNnect (CVE-2024-1709) e Fortinet Forticlient EMS (CVE-2023-48788) per infiltrarsi negli obiettivi nel Regno Unito e negli Stati Uniti.
Gli attacchi effettuati dal sottogruppo comportano una combinazione di attacchi opportunistici “spray e prega” e intrusioni mirate progettate per mantenere l’accesso indiscriminato ed eseguire azioni di follow-on per espandere l’accesso alla rete o ottenere informazioni riservate.
Si ritiene che la vasta gamma di compromessi offra una bufera di neve per soddisfare gli obiettivi strategici in continua evoluzione del Cremlino, permettendo all’outfit di hacking di ridimensionare orizzontalmente le loro operazioni in diversi settori mentre vengono divulgati nuovi exploit.
Fino a otto various vulnerabilità di sicurezza conosciute sono state sfruttate dal sottogruppo fino advert oggi,
Un punto d’appoggio di successo viene succeduto dall’attore della minaccia che stabilisce la persistenza attraverso tre diversi metodi –
- 24 febbraio 2024 – Presente: Distribuzione di software program di accesso remoto legittimo come ATERA AGENT e Splashtop Distant Providers, in alcuni casi abusando dell’accesso per rilasciare carichi utili aggiuntivi per l’acquisizione delle credenziali, l’esfiltrazione dei dati e altri strumenti per mantenere l’accesso come OpenSSH e un’utilità su misura Subita Sistema per essere accessibile tramite la rete di anonimato TOR
- Alla high quality del 2021 – Presente: Distribuzione di una shell Net denominata LocalOlive che consente comandi e controllo e funge da condotto per ulteriori carichi utili, come le utility di tunneling (advert es. Chisel, Plink e RSockstun)
- Positive 2021-2024: Modifiche dannose per Outlook Net Entry (OWA) Pagine di accesso per iniettare il codice JavaScript che può raccogliere ed esfiltrarsi le credenziali di nuovo all’attore di minaccia in tempo reale e alterare le configurazioni di report A DNS probabilmente nel tentativo di intercettare le credenziali critiche dell’autenticazione critica Servizi
“Questo sottogruppo, che è caratterizzato dall’organizzazione più ampia di Blizzard con mare dalla sua portata quasi globale, rappresenta un’espansione sia nel focusing on geografico condotto da Blizzard con mare sia nell’ambito delle sue operazioni”, ha detto Microsoft.
“Allo stesso tempo, i metodi di accesso opportunistici e opportunistici di vasta portata di Blizzard offrono probabilmente opportunità espansive in Russia per operazioni di nicchia e attività che continueranno a essere preziose a medio termine.”
Lo sviluppo arriva quando la società olandese di sicurezza informatica Eclecticiq ha collegato il gruppo Sandworm a un’altra campagna che sfrutta il servizio di gestione delle chiavi Microsoft (Microsoft (Km) Attivatori e aggiornamenti di Home windows falsi per consegnare una nuova versione di Backorder, un downloader basato su GO che è responsabile del recupero e dell’esecuzione di un payload di secondo stadio da un server remoto.
Il backorder, per mandiant, viene generalmente consegnato all’interno di file di installazione trojanizzati ed è codificato per eseguire l’eseguibile di configurazione originale. L’obiettivo finale della campagna è di consegnare Ratto darkcrystal.
“La forte dipendenza dell’Ucraina dal software program screpolato, anche nelle istituzioni governative, crea una grande superficie di attacco”, la ricercatrice di sicurezza Arda Büyükkaya disse. “Molti utenti, comprese le aziende e le entità critiche, si sono rivolti a software program piratato Da fonti non attendibili, dare agli avversari come Sandworm (APT44) un’opportunità privilegiata per incorporare malware in programmi ampiamente usati. “
Un’ulteriore analisi delle infrastrutture ha scoperto un backdoor RDP in codice RDP precedentemente non documentato Kalambur che è mascherato da un aggiornamento di Home windows e che utilizza la rete TOR per comandi e controllo, nonché per distribuire OpenSsh e abilitare l’accesso remoto tramite il protocollo Desktop (RDP) remoto (RDP) sulla porta 3389.
“Sfruttando il software program trojanizzato in ambienti ICS infiltrati, Sandworm (APT44) continua a dimostrare il suo obiettivo strategico di destabilizzare le infrastrutture critiche dell’Ucraina a sostegno delle ambizioni geopolitiche russe”, ha affermato Büyükkaya.
