Ruska vojna sajber-špijunažna grupa Sandworm cilja na korisnike Windows-a u Ukrajini trojanskim aktivatorima Microsoft Key Management Service-a (KMS) i lažnim ažuriranjima za Windows.
Ovi napadi su vjerovatno počeli krajem 2023. godine i sada su ih povezivali analitičari prijetnji EclecticIQ s hakerima Sandworma na osnovu preklapajuće infrastrukture, dosljednih taktika, tehnika i procedura (TTP) i često korištenih ProtonMail naloga za registraciju domena korištenih u napadima.
Napadači su takođe koristili BACKORDER loader za postavljanje malicioznog softvera DarkCrystal RAT (DcRAT) (koji se koristio u prethodnim Sandworm napadima) i simbola za otklanjanje grešaka koji upućuju na okruženje izgradnje na ruskom jeziku, dodatno pojačavajući povjerenje istraživača da su umiješani ruski vojni hakeri.
EclecticIQ je identifikovao sedam kampanja distribucije malicioznog softvera povezanih s istim klasterom malicioznih aktivnosti, a svaka koristi slične mamce i TTP-ove. Nedavno, 12. januara 2025. godine, analitičari su uočili napade kojima su žrtve zaražene trojanskim programom za daljinski pristup DcRAT u napadima eksfiltracije podataka koristeći domen za kucanje.
Nakon što se postavi na uređaj žrtve, lažni KMS alat za aktivaciju prikazuje lažni Windows aktivacioni interfejs, instalira učitavač malicioznog softvera i onemogućuje Windows Defender u pozadini prije nego što isporuči konačni RAT teret.
Krajnji cilj napada je prikupljanje osjetljivih informacija sa zaraženih računara i njihovo slanje serverima pod kontrolom napadača. Maliciozni softver krade pritiske na tipke, kolačiće pretraživača, istoriju pretraživača, sačuvane akreditive, FTP akreditive, informacije o sistemu i snimke ekrana.
Sandworm-ova upotreba malicioznih Windows aktivatora je vjerovatno bila podstaknuta ogromnom površinom napada koja je otvorena velikom upotrebom piratskog softvera u Ukrajini, što takođe pogađa državni sektor u zemlji.
“Mnogi korisnici, uključujući kompanije i kritične subjekte, okrenuli su se piratskom softveru iz nepouzdanih izvora, dajući protivnicima poput Sandworma (APT44) glavnu priliku da ugrade maliciozni softver u široko korištene programe”, rekao je EclecticIQ .
“Ova taktika omogućava špijunažu velikih razmjera, krađu podataka i kompromitovanje mreže, direktno ugrožavajući nacionalnu bezbjednost Ukrajine, kritičnu infrastrukturu i otpornost privatnog sektora.”
Sandworm (takođe praćen kao UAC-0113, APT44 i Seashell Blizzard) je hakerska grupa aktivna najmanje 2009. i dio je vojne jedinice 74455 Glavne obavještajne uprave (GRU), ruske vojne obavještajne službe, prvenstveno fokusirane na izvođenje destruktivnih napadačkih ciljeva u Ukrajini.
Izvor: BleepingComputer