根据乌克兰计算机应急响应团队（CERT-UA）的报告，俄罗斯黑客组织「沙虫」（Sandworm）旨在破坏乌克兰约 20 家关键基础设施的运行。

该黑客组织也被称为 BlackEnergy、Seashell Blizzard、Voodoo Bear 和 APT44 ，据信与俄罗斯武装部队总参谋部主管部门（GRU）有关，主要针对各种目标进行网络间谍活动和破坏性攻击。

CERT-UA 的报告称，2024 年 3 月，APT44 破坏了乌克兰 10 个地区的能源、水务、供暖供应商的信息和通信系统。

在某些情况下，Sandworm 会通过操纵软件供应链或者利用软件提供商的权限来进入目标网络，也可能部署被篡改的软件或者利用软件漏洞，成功渗透到系统中。

另外，该组织还结合了之前用过的恶意软件和新的恶意工具（比如BIASBOAT和LOADGRIP）来获取系统访问权限，在网络中横向移动。

CERT-UA 专家已确认至少有三条「供应链」遭到破坏，这导致最初未经授权的访问。这种访问要么与安装含有后门和漏洞的软件有关，要么是由于供应商员工通常具备访问组织工控系统进行维护和技术支持的权限。

乌克兰机构指出，Sandworm 的入侵行为得以简化，部分原因是目标的网络安全实践较差（例如缺乏网络分段以及软件供应商防御措施不足）。

自 2024 年 3 月 7 日至 3 月 15 日，CERT-UA 进行了大规模的反网络攻击行动，包括通知受影响企业、清除恶意软件和加强安全措施。

对受影响实体的日志进行调查后发现，Sandworm 主要依靠以下恶意软件对乌克兰公共事业供应商进行攻击：

• QUEUESEED/IcyWell/Kapeka：这是一个针对 Windows 的 C++ 后门，用于收集基本系统信息并执行来自远程服务器的命令。它可以处理文件操作、命令执行和配置更新，并能自行删除。通信通过 HTTPS 进行安全传输，数据使用 RSA 和 AES 加密。它通过在 Windows 注册表中加密其配置并设置任务或注册表项以实现自动执行，从而在感染的系统上存储数据并保持持久性。

QUEUESEED 计划执行（CERT-UA）

• BIASBOAT（新）：最近出现的 QUEUESEED Linux 变种。它伪装成加密文件服务器，与 LOADGRIP 同时运行。

• LOADGRIP（新）：也是用 C 语言开发的 QUEUESEED Linux 变种，用于使用 ptrace API 向进程注入有效负载。有效负载通常是加密的，解密密钥来自一个常量和一个特定机器 ID。

加载 BIASBOAT 和 LOADGRIP 的 Bash 脚本（CERT-UA）

• GOSSIPFLOW：在 Windows 上使用基于 Go 的恶意软件，利用 Yamux 多路复用器库建立隧道；它提供 SOCKS5 代理功能，帮助外泄数据并确保与命令和控制服务器的通信安全。

CERT-UA 在调查期间发现的其他恶意工具来自开源空间，包括 Weevly webshell、Regeorg.Neo、Pitvotnacci 和 Chisel 隧道程序、LibProcessHider、JuicyPotatoNG 和 RottenPotatoNG。黑客组织利用这些工具来维持攻击持久性、隐藏恶意进程，并提升他们在被入侵系统上的权限。

乌克兰机构认为，这些攻击的目的是增强俄罗斯导弹对目标基础设施的打击效果。

参考资料：

https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-targeted-20-critical-orgs-in-ukraine/?