HackerNews 编译，转载请注明出处： 据 EclecticIQ 威胁分析师披露，俄罗斯军事网络间谍组织 Sandworm 正在针对乌克兰的 Windows 用户，通过恶意的微软密钥管理服务（KMS）激活工具和伪装的 Windows 更新进行攻击。这些攻击可能始于 2023 年末，基于重叠的基础设施、一致的战术、技术与程序（TTPs）以及频繁使用的 ProtonMail 账号注册攻击域名，被 EclecticIQ 确认为与 Sandworm 黑客相关。 攻击者还利用 BACKORDER 加载器部署 DarkCrystal RAT（DcRAT）恶意软件（此前 Sandworm 攻击中也曾使用），并且调试符号引用了俄语构建环境，进一步证实了研究人员对俄罗斯军事黑客参与其中的信心。 EclecticIQ 识别出七个与同一恶意活动集群相关的恶意软件分发活动，每个活动都使用类似的诱饵和 TTPs。最近一次是在 2025 年 1 月 12 日，分析师观察到攻击者利用拼写错误的域名，通过 DcRAT 远程访问木马进行数据泄露攻击。 一旦在受害者的设备上部署，假冒的 KMS 激活工具会显示一个伪造的 Windows 激活界面，在后台安装恶意软件加载器，并禁用 Windows Defender，随后传递最终的 RAT 负载。 这些攻击的最终目的是从受感染的计算机中收集敏感信息，并将其发送到攻击者控制的服务器。恶意软件会窃取键盘输入、浏览器 Cookie、浏览历史记录、保存的凭据、FTP 凭据、系统信息和屏幕截图。 Sandworm 使用恶意 Windows 激活工具的动机可能是由于乌克兰广泛使用盗版软件，这为攻击者提供了巨大的攻击面，甚至影响到该国的政府机构。EclecticIQ 表示：“许多用户，包括企业和关键实体，都从不可信的来源转向使用盗版软件，这为 Sandworm（APT44）等对手提供了将恶意软件嵌入广泛使用程序的绝佳机会。”这种策略使得大规模间谍活动、数据盗窃和网络入侵成为可能，直接威胁到乌克兰的国家安全、关键基础设施和私营部门的韧性。 Sandworm（也被追踪为 UAC-0113、APT44 和 Seashell Blizzard）是一个自 2009 年以来一直活跃的黑客组织，隶属于俄罗斯军事情报局（GRU）的第 74455 军事单位，主要针对乌克兰发动破坏性和破坏性攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近期，乌克兰计算机应急响应小组 (CERT) 警告说，俄罗斯黑客组织Sandworm可能正在利用名为Follina的漏洞，这是Microsoft Windows 支持诊断工具 (MSDT) 中的一个远程代码执行漏洞，编号为CVE-2022-30190，它可以通过打开或选择特制文档来触发其中的安全漏洞，威胁行为者至少自2022年4月以来一直在攻击中利用它。值得注意的是，乌克兰情报机构以中等可信度评估，认为这场恶意活动的背后是“Sandworm”黑客组织。 CERT-UA表示，俄罗斯黑客利用Follina针对乌克兰各种媒体组织的500多名收件人发起了一项新的恶意电子邮件活动，其中攻击目标包括广播电台和报纸。这些电子邮件的主题是“交互式地图链接列表”，其中还带有一个同名的 .DOCX 附件。当目标打开文件时，JavaScript 代码会执行以获取名为“2.txt”的有效负载，CERT-UA也因此将其归类为“恶意 CrescentImp”。 不过CERT-UA提供了一组简短的入侵指标，以帮助防御者检测CrescentImp感染。但是，目前还尚不清楚CrescentImp究竟属于哪种类型的恶意软件。 Sandworm在过去几年中一直以乌克兰为目标，尤其在俄罗斯入侵乌克兰后，其攻击频率明显增加。今年4月，人们发现Sandworm试图通过使用Industroyer恶意软件的新变种来攻击一家大型乌克兰能源供应商的变电站。安全研究人员还发现Sandworm是负责创建和运营Cyclops Blink 僵尸网络的组织，这是一种依赖固件操作的高度持久性恶意软件。为了找到该黑客组织中的六名成员的踪迹，美国还曾悬赏高达1千万美元的奖励。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/336151.html 封面来源于网络，如有侵权请联系删除

据TechCrunch报道，美国政府通过悬赏1000万美元来寻找能够识别或定位黑客组织Sandworm成员的信息，从而加大了对六名俄罗斯情报官员的追捕力度。黑客组织Sandworm的成员为俄罗斯军事情报部门GRU的一个部门工作–以对关键基础设施，包括食品供应和能源部门发起破坏性和毁灭性的网络攻击而闻名。 Sandworm可能因2017年的NotPetya勒索软件攻击而闻名，该攻击主要打击了乌克兰的计算机系统，破坏了该国的电网，导致数十万居民在深冬时节无电可用。2020年，美国检察官起诉了同样的六名 Sandworm黑客（据信他们仍在俄罗斯），罪名是NotPetya攻击，以及针对2018年韩国平昌冬奥会的其他几起攻击，以及为诋毁法国当时的总统竞选人马克龙而进行的黑客和泄密行动。 美国国务院在本周的一份声明中说，NotPetya攻击波及到乌克兰以外的更广泛的互联网，给美国私营部门，包括医疗设施和医院，造成了近10亿美元的损失。 赏金的时机正值美国官员警告称，包括 Sandworm 在内的俄罗斯支持的黑客可能正在准备针对俄罗斯入侵乌克兰后针对美国企业和组织的破坏性网络攻击。 自2月入侵开始以来，安全研究人员已经将几起网络攻击归咎于 Sandworm，包括使用“wiper”恶意软件削弱乌克兰军队严重依赖的Viasat卫星网络。乌克兰政府本月早些时候表示，它已经挫败了另一个Sandworm企图，即利用它在2016年对乌克兰发动的网络攻击中重新使用的恶意软件，将一家乌克兰能源供应商作为攻击目标。 美国联邦调查局本月还表示，它开展了一项行动，通过锁定 Sandworm黑客约一半的僵尸网络指挥和控制服务器，瓦解了一个感染了数千台受损路由器的大规模僵尸网络，其中包括许多位于美国的僵尸网络。 根据微软的新研究， Sandworm还被指责与乌克兰的其他几起破坏性网络攻击有关，作为该组织通过削弱乌克兰的经济来支持俄罗斯军事目标的努力的一部分。 微软表示，作为其命名网络对手的金属主题公约的一部分，它称之为“Iridium”的 Sandworm 还对乌克兰西部的一家运输和物流提供商的网络发起了破坏性攻击，该公司称这可能是为了阻碍乌克兰向该国东部冲突地区提供进入该国的大部分军事装备和人道主义援助的努力。 这家技术巨头还警告说， Sandworm–以及另一个被称为Fancy Bear的GRU黑客组织–继续攻击支持通信部门的公司和一个未命名的”主要”互联网供应商。微软没有说是哪家互联网供应商，但警告说，最近在本月就发现了这种活动。乌克兰政府上个月说，它已经”化解”了针对该国最大互联网供应商Ukrtelecom的IT基础设施的网络攻击。 微软的消费者安全主管Tom Burt 说，该公司已经观察到近40次直接针对关键基础设施的破坏性攻击，其中约40%的攻击 “针对关键基础设施部门的组织，可能对乌克兰政府、军队、经济和民众产生负面的二级影响”。 并非所有的攻击都是成功的。在一个案例中，微软表示，它发现有证据表明，Sandworm正在为一个农业公司的文件加密攻击创造条件，可能会破坏其粮食生产供应，而乌克兰是一个主要的全球出口国。 Burt说，Sandworm和 Fancy Bear 是六个独立的俄罗斯国营黑客组织中的两个，它们自乌克兰入侵前就开始针对乌克兰进行237次攻击。 Burt表示：“这些攻击不仅削弱了乌克兰机构的系统，而且还试图破坏人们获得可靠信息和关键生活服务的机会，并试图动摇对该国领导人的信心。我们还观察到涉及北约其他成员国的有限的间谍攻击活动，以及一些虚假信息活动。”   转自cnBeta，原文链接：https://www.cnbeta.com/articles/science/1263323.htm 封面来源于网络，如有侵权请联系删除