تكتشف Microsoft الهجمات الإلكترونية العالمية لـ Sandworm Subgroup التي تمتد إلى أكثر من 15 دولة

مجموعة فرعية داخل مجموعة القرصنة الروسية التي ترعاها الدولة المعروفة باسم الدودة الرملية نسب إلى عملية وصول أولية متعددة السنوات تسمى Badpilot تمتد في جميع أنحاء العالم.

“لقد أجرت هذه المجموعة الفرعية تنازلات متنوعة عالميًا للبنية التحتية التي تواجه الإنترنت لتمكين عاصفة ثلجية صدف للاستمرار في الأهداف ذات القيمة العالية ودعم عمليات الشبكة المصممة خصيصًا”. قال في تقرير جديد مشترك مع Hacker News قبل النشر.

تشمل الانتشار الجغرافي لأهداف المجموعة الفرعية الأولية في أمريكا الشمالية بأكملها ، وعدة دول في أوروبا ، وكذلك غيرها ، بما في ذلك أنغولا ، الأرجنتين ، أستراليا ، الصين ، مصر ، الهند ، كازاخستان ، ميانمار ، نيجيريا ، باكستان ، تركيا ، و أوزبكستان.

يمثل التطوير توسعًا كبيرًا في بصمة ضحية مجموعة القرصنة على مدار السنوات الثلاث الماضية ، والتي من المعروف أنها تتركز في جميع أنحاء أوروبا الشرقية –

• 2022: قطاعات الطاقة والتجزئة والتعليم والاستشارات والزراعة في أوكرانيا
• 2023: قطاعات في الولايات المتحدة وأوروبا وآسيا الوسطى والشرق الأوسط والتي قدمت دعمًا ماديًا للحرب في أوكرانيا أو كانت ذات أهمية جيوسياسية
• 2024: كيانات في الولايات المتحدة وكندا وأستراليا والمملكة المتحدة

يتم تتبع Sandworm بواسطة Microsoft تحت صدف لقب Seashell (Iridium سابقًا) ، ومجتمع الأمن السيبراني الأوسع تحت الأسماء APT44 و Blue Echidna و Frozenbarents و Gray Tornado و Iron Viking و Razing Ursa و Telebots و UAC-0002 و Voodoo Bear. نشطة منذ عام 2013 على الأقل ، يتم تقييم المجموعة لتكون تابعة للوحدة 74455 ضمن المديرية الرئيسية للموظفين العامين للقوات المسلحة للاتحاد الروسي (GRU).

تم وصف الجماعة العدائية من قبل مانديان المملوكة لشركة Google بأنها ممثل تهديد “متكيف للغاية” و “ناضجًا” يشارك في عمليات التجسس والهجوم والتأثير. كما أن لديها سجل حافل في تصاعد الهجمات التخريبية والمدمرة ضد أوكرانيا على مدار العقد الماضي.

حملت الحملات التي شنتها Sandworm في أعقاب حرب Russo-Okrainian Data Pipers (Killdisk AKA Hermeticwiper) ، و pseudo-ransomware (Prestige AKA Presstea) ، و Backdoors (Kapeka) ، بالإضافة إلى عائلات البرامج الضارة التي تسمح لممثلي التهديد بالارتفاع الوصول عن بُعد المستمر إلى المضيفين المصابين عبر الفئران DarkCrystal (ويعرف أيضًا باسم DCRAT).

وقد لوحظ أيضًا بالاعتماد على مجموعة متنوعة من الشركات الروسية والأسواق الجنائية لمصدر قدراتها الهجومية والحفاظ عليها ، مع تسليط الضوء على أ الاتجاه المتزايد من الجريمة الإلكترونية تسهيل القرصنة المدعومة من الدولة.

“لقد استخدمت المجموعة الأدوات والبنية التحتية المصدر جنائيًا كمصدر للقدرات المتاحة التي يمكن تفعيلها في إشعار قصير دون روابط فورية لعملياتها السابقة” قال في تحليل.

“نظرًا لأن الغزو الكامل لروسيا لأوكرانيا ، زاد APT44 من استخدام هذه الأدوات ، بما في ذلك البرامج الضارة مثل DarkCrystal Rat (DCRAT) و Warzone و Radthief (‘Rhadamanthys Stealer’) ، و broofproof Hosting Infructure مثل تلك المقدمة من قبل تلك الممثل الناطق باللغة الروسية “Yalishanda” ، الذي يعلن في المجتمعات تحت الأرض الإلكترونية. “

وقالت Microsoft إن المجموعة الفرعية Sandworm تعمل منذ أواخر عام 2021 على الأقل ، واستغل العديد من العيوب الأمنية المعروفة للحصول على وصول أولي ، تليها سلسلة من الإجراءات بعد الاستغلال التي تهدف إلى جمع بيانات الاعتماد ، وتحقيق تنفيذ القيادة ، ودعم الحركة الجانبية.

“تشير العمليات الملحوظة بعد الوصول الأولي إلى أن هذه الحملة مكنت عاصفة ثلجية من الصدف من الوصول إلى الأهداف العالمية عبر القطاعات الحساسة بما في ذلك الطاقة والنفط والغاز ، والاتصالات ، والشحن ، وتصنيع الأسلحة ، بالإضافة إلى الحكومات الدولية” ، أشار عملاق التكنولوجيا.

“تم تمكين هذه المجموعة الفرعية من خلال القدرة القابلة للتطوير أفقياً التي تعززها مآثر منشورة سمحت بفرط Blizzard لاكتشاف العديد من الأنظمة التي تواجه الإنترنت عبر مجموعة واسعة من المناطق الجغرافية والقطاعات الجغرافية.”

منذ أوائل العام الماضي ، يقال إن الكتلة الفرعية لديها نقاط ضعف في الأسلحة في شاشة ConnectWise (CVE-2024-1709) و Fortinet Forticlient EMS (CVE-2023-48788) للتسلل إلى أهداف في المملكة المتحدة والولايات المتحدة.

تتضمن الهجمات التي تنفذها المجموعة الفرعية مزيجًا من كل من الهجمات “الرش والصلاة” الانتهازية والتحفيز المستهدف المصمم للحفاظ على الوصول العشوائي وأداء الإجراءات المتابعة لتوسيع وصول الشبكة أو الحصول على معلومات سرية.

من المعتقد أن مجموعة واسعة من التنازلات توفر عاصفة ثلجية صدف لتحقيق أهداف Kremlin الإستراتيجية المتطورة باستمرار ، مما يسمح لزيار القرصنة بتوسيع نطاق عملياتها أفقيًا عبر قطاعات متنوعة مع الكشف عن مآثر جديدة.

تم استغلال ما يصل إلى ثمانية نقاط الضعف الأمنية المعروفة المختلفة من قبل المجموعة الفرعية حتى الآن ،

ينجح ممثل التهديد في موطئ قدم ناجح من خلال الثبات من خلال ثلاث طرق مختلفة –

• 24 فبراير 2024 – الحاضر: نشر برامج وصول عن بُعد شرعية مثل Atera Agent و SPLASHTOP عن بعد ، في بعض الحالات ، يسيء إساءة استخدام الوصول إلى حمولة إضافية لاكتساب بيانات الاعتماد ، وترشيح البيانات ، وأدوات أخرى للحفاظ على الوصول مثل OpenSsh و ASTILITY ATTILITY يطلق عليها اسم Shadowlink التي تسمح بالمراسى المستعرضة للخطر يجب الوصول إلى النظام عبر شبكة عدم الكشف عن هويته TOR
• أواخر 2021 – الحاضر: نشر قذيفة ويب تدعى LocalOlive تسمح بالقيادة والسيطرة ويعمل كقناة لمزيد من الحمولات ، مثل مرافق الأنفاق (على سبيل المثال ، إزميل ، بلنك ، و Rsockstun)
• أواخر 2021 – 2024: تعديلات ضارة على صفحات تسجيل الدخول إلى Outlook Web Access (OWA) لضخ كود JavaScript الذي يمكن أن يحصد وتوقيف بيانات الاعتماد إلى ممثل التهديد في الوقت الفعلي ، وتغيير تكوينات سجل DNS على الأرجح في محاولة لاعتراض بيانات الاعتماد من مصادقة حرجة خدمات

وقالت مايكروسوفت: “تمثل هذه المجموعة الفرعية ، التي تتميز ضمن منظمة عاصفة ثلجية صدف أوسع من خلال وصولها القريب ، توسعًا في كل من الاستهداف الجغرافي الذي تجريه Seashell Blizzard ونطاق عملياتها”.

“في الوقت نفسه ، من المحتمل أن توفر أساليب الوصول الانتهازية بعيدة المدى للوصول إلى روسيا فرصًا واسعة للعمليات والأنشطة المتخصصة التي ستظل ذات قيمة على المدى المتوسط.”

ويأتي هذا التطوير في الوقت الذي ربطت فيه شركة الأمن السيبراني الهولندية Eclecticiq مجموعة Sandworm إلى حملة أخرى تستفيد من منشطات إدارة Microsoft Key Management (KMS) المزيفة وتحديثات Windows المزيفة لتقديم إصدار جديد من Backorder ، وهو تنزيل قائم على GO مسؤول عن جلبه وتنفيذ حمولة المرحلة الثانية من خادم بعيد.

عادةً ما يتم تسليم Backorder ، لكل Mandiant ، داخل ملفات التثبيت الحركية التي يتم ترميزها بشكل ثابت لتنفيذ الإعداد الأصلي القابل للتنفيذ. الهدف النهائي للحملة هو يسلم DarkCrystal الفئران.

“الاعتماد الشديد لأوكرانيا على البرمجيات المتشققة ، بما في ذلك المؤسسات الحكومية ، يخلق سطح هجوم رئيسي” قال. “لقد تحول العديد من المستخدمين ، بما في ذلك الشركات والكيانات الحرجة ، إلى برامج مقرصنة من مصادر غير موثوق بها ، مما يمنح خصوم مثل Sandworm (APT44) فرصة رئيسية لتضمين البرامج الضارة في البرامج المستخدمة على نطاق واسع.”

اكتشف تحليل البنية التحتية الإضافية عن طريق RDP الذي لم يسبق له مثيل كالبور الذي لا يحمل اسمًا غير موثوق به ، والذي تم إخفاءه كتحديث Windows ، والذي يستخدم شبكة TOR للسيطرة على القيادة والسيطرة ، بالإضافة إلى نشر OpenSSH وتمكين الوصول عن بُعد عبر بروتوكول سطح المكتب عن بُعد (RDP) على المنفذ 3389.

وقال بويوكايا: “من خلال الاستفادة من البرمجيات الطرووية للتسلل إلى بيئات ICS ، تواصل Sandworm (APT44) إظهار هدفها الاستراتيجي المتمثل في تفكيك البنية التحتية الحرجة في أوكرانيا لدعم الطموحات الجيوسياسية الروسية”.