Subkelompok dalam kelompok peretasan yang disponsori negara Rusia yang terkenal Cacing pasir telah dikaitkan dengan operasi akses awal multi-tahun yang dijuluki Badpilot yang membentang di seluruh dunia.
“Subkelompok ini telah melakukan kompromi secara global dari infrastruktur yang menghadap ke internet untuk memungkinkan Blizzard kerang untuk bertahan pada target bernilai tinggi dan mendukung operasi jaringan yang disesuaikan,” kata tim Intelijen Ancaman Microsoft dalam sebuah laporan baru yang dibagikan dengan Hacker News di depan publikasi.
Penyebaran geografis target subkelompok akses awal termasuk seluruh Amerika Utara, beberapa negara di Eropa, dan juga yang lain, termasuk Angola, Argentina, Australia, Cina, Mesir, India, Kazakhstan, Myanmar, Nigeria, Pakistan, Turki, dan Uzbekistan.
Pembangunan ini menandai perluasan yang signifikan dari jejak korban kelompok peretasan selama tiga tahun terakhir, yang diketahui terkonsentrasi di seluruh Eropa Timur –
- 2022: Sektor Energi, Ritel, Pendidikan, Konsultasi, dan Pertanian di Ukraina
- 2023: Sektor -sektor di Amerika Serikat, Eropa, Asia Tengah, dan Timur Tengah yang memberikan dukungan material untuk perang di Ukraina atau signifikan secara geopolitik
- 2024: Entitas di Amerika Serikat, Kanada, Australia, dan Inggris
Sandworm dilacak oleh Microsoft di bawah Moniker Seashell Blizzard (sebelumnya Iridium), dan oleh komunitas cybersecurity yang lebih luas dengan nama APT44, Blue Echidna, Frozenbarents, Grey Tornado, Iron Viking, Razing Ursa, Telebots, UAC-0002, dan Voodoo Bear. Aktif sejak setidaknya 2013, kelompok ini dinilai berafiliasi dengan unit 74455 dalam Direktorat Utama Staf Umum Angkatan Bersenjata Federasi Rusia (GRU).
Kolektif permusuhan telah dijelaskan oleh Mandiant milik Google sebagai aktor ancaman “sangat adaptif” dan “matang secara operasional” yang terlibat dalam operasi spionase, serangan, dan pengaruh. Ini juga memiliki rekam jejak serangan yang mengganggu dan merusak terhadap Ukraina selama dekade terakhir.
Campaigns mounted by Sandworm in the wake of the Russo-Ukrainian war have leveraged data wipers (KillDisk aka HermeticWiper), pseudo-ransomware (Prestige aka PRESSTEA), and backdoors (Kapeka), in addition to malware families that allow the threat actors to maintain Akses jarak jauh yang persisten ke host yang terinfeksi melalui Darkcrystal Rat (alias DCrat).
Ini juga telah diamati mengandalkan berbagai perusahaan Rusia dan pasar kriminal untuk sumber dan mempertahankan kemampuan ofensifnya, menyoroti tren yang berkembang dari kejahatan dunia maya yang memfasilitasi peretasan yang didukung negara.
“Kelompok ini telah menggunakan alat dan infrastruktur yang bersumber secara pidana sebagai sumber kemampuan sekali pakai yang dapat dioperasionalkan secara singkat tanpa tautan langsung ke operasi masa lalunya,” kata Google Ancaman Intelijen (GTIG) dalam sebuah analisis.
“Sejak invasi skala penuh Rusia ke Ukraina, APT44 telah meningkatkan penggunaan alat seperti itu, termasuk malware seperti Darkcrystal Rat (DCrat), Warzone, dan Radthief ('Rhadamanthys Stealer'), dan infrastruktur hosting anti peluru seperti yang disediakan oleh mereka the the Aktor berbahasa Rusia 'Yalishanda,' yang beriklan di komunitas bawah tanah penjahat cyber. “
Microsoft mengatakan subkelompok Sandworm telah beroperasi sejak setidaknya akhir 2021, mengeksploitasi berbagai kelemahan keamanan yang diketahui untuk mendapatkan akses awal, diikuti oleh serangkaian tindakan pasca-eksploitasi yang bertujuan mengumpulkan kredensial, mencapai eksekusi perintah, dan mendukung gerakan lateral.
“Operasi yang diamati setelah akses awal menunjukkan bahwa kampanye ini memungkinkan kerang Blizzard untuk mendapatkan akses ke target global di seluruh sektor sensitif termasuk energi, minyak dan gas, telekomunikasi, pengiriman, pembuatan senjata, di samping pemerintah internasional,” kata raksasa teknologi itu.
“Subkelompok ini telah diaktifkan oleh kemampuan yang dapat diskalakan secara horizontal yang didukung oleh eksploitasi yang diterbitkan yang memungkinkan kerang Blizzard untuk menemukan dan mengkompromikan banyak sistem yang menghadap ke internet di berbagai wilayah geografis dan sektor.”
Sejak awal tahun lalu, sub-cluster dikatakan memiliki kerentanan yang dipersenjatai di ConnectWise Screenconnect (CVE-2024-1709) dan Fortinet Forticlient EMS (CVE-2023-48788) untuk menyusup ke target di Inggris dan Amerika Serikat.
Serangan yang dilakukan oleh subkelompok melibatkan kombinasi serangan oportunistik “semprot dan berdoa” dan intrusi yang ditargetkan yang dirancang untuk mempertahankan akses tanpa pandang bulu dan melakukan tindakan lanjutan untuk memperluas akses jaringan atau mendapatkan informasi rahasia.
Dipercayai bahwa beragam kompromi menawarkan Blizzard kerang untuk memenuhi tujuan strategis Kremlin yang terus berkembang, memungkinkan pakaian peretasan untuk secara horizontal skala operasi mereka di berbagai sektor ketika eksploitasi baru diungkapkan.
Sebanyak delapan kerentanan keamanan yang diketahui telah dieksploitasi oleh subkelompok hingga saat ini,
Pijakan yang sukses digantikan oleh aktor ancaman yang membangun kegigihan melalui tiga metode yang berbeda –
- 24 Februari 2024 – Hadir: Penyebaran perangkat lunak akses jarak jauh yang sah seperti Atera Agent dan Layanan Jarak Jauh Splashtop, dalam beberapa kasus menyalahgunakan akses untuk menjatuhkan muatan tambahan untuk akuisisi kredensial, exfiltrasi data, dan alat lain untuk mempertahankan akses seperti OpenSSH dan utilitas yang dipesan lebih dahulu yang dijuluki Shadowlink yang memungkinkan yang dikompromikan oleh yang dikompromikan yang dikompromikan yang dikompromikan yang dikompromikan yang dikompromikan yang dikompromikan yang dikompromikan oleh yang dikompromikan yang dikompromikan yang dikompromikan oleh yang dikompromikan dari yang dikompromikan dari yang dikompromikan dari yang dikompromikan dari yang dikompromikan dari yang dikompromikan dari yang dikompromikan dari yang dikompromikan dari yang dikompromikan oleh yang dikompromikan dari yang dikompromikan dari yang dikompromikan dari yang dikompromikan oleh yang dikompromikan dari yang dikompromikan dari yang dikompromikan dari yang dikompromikan sistem agar dapat diakses melalui jaringan anonimitas Tor
- Akhir 2021 – Hadir: Penyebaran shell web bernama LocalOlive yang memungkinkan untuk perintah dan kontrol dan berfungsi sebagai saluran untuk lebih banyak muatan, seperti utilitas tunneling (misalnya, pahat, plink, dan rsockstun)
- Akhir 2021 – 2024: Modifikasi berbahaya untuk Outlook Web Access (OWA) Masuk ke halaman untuk menyuntikkan kode JavaScript yang dapat memanen dan mengekspilrasi kredensial kembali ke aktor ancaman secara real-time, dan mengubah konfigurasi A-Record DNS yang kemungkinan dalam upaya untuk mencegat kredensial dari otentikasi kritis Layanan
“Subkelompok ini, yang ditandai dalam organisasi Blizzard kerang yang lebih luas dengan jangkauannya yang dekat-global, mewakili perluasan dalam penargetan geografis yang dilakukan oleh Seashell Blizzard dan ruang lingkup operasinya,” kata Microsoft.
“Pada saat yang sama, metode akses oportunistik yang jauh dari Seashell Blizzard kemungkinan menawarkan peluang luas Rusia untuk operasi dan kegiatan khusus yang akan terus menjadi berharga dalam jangka menengah.”
Perkembangan ini datang ketika perusahaan cybersecurity Belanda Eclecticiq menautkan Grup Sandworm ke kampanye lain yang memanfaatkan aktivator Layanan Manajemen Kunci Microsoft (KMS) bajakan dan pembaruan Windows palsu untuk memberikan versi baru Backorder, pengunduh berbasis GO yang bertanggung jawab untuk mengambil dan melaksanakan a Payload tahap kedua dari server jarak jauh.
Backorder, per Mandiant, biasanya dikirimkan dalam file penginstal Trojanized dan lebih keras untuk menjalankan pengaturan yang dapat dieksekusi. Tujuan akhir dari kampanye ini adalah untuk memberikan Rat Darkcrystal.
“Ketergantungan besar Ukraina pada perangkat lunak yang retak, termasuk di lembaga -lembaga pemerintah, menciptakan permukaan serangan besar,” kata peneliti keamanan Arda Büyükkaya. “Banyak pengguna, termasuk bisnis dan entitas kritis, telah beralih ke perangkat lunak bajakan dari sumber yang tidak dipercaya, memberikan musuh seperti Sandworm (APT44) peluang utama untuk menanamkan malware dalam program yang banyak digunakan.”
Analisis infrastruktur lebih lanjut telah mengungkap Kalambur RDP Backdoor yang sebelumnya tidak berdokumen yang disamarkan sebagai pembaruan Windows, dan yang menggunakan jaringan TOR untuk perintah-dan-kontrol, serta menggunakan Openssh dan mengaktifkan akses jarak jauh melalui Protokol Desktop Jarak Jauh (RDP) di port 3389.
“Dengan memanfaatkan perangkat lunak trojanisasi untuk menyusup ke lingkungan ICS, Sandworm (APT44) terus menunjukkan tujuan strategisnya untuk mendestabilisasi infrastruktur kritis Ukraina dalam mendukung ambisi geopolitik Rusia,” kata Büyükkaya.
