Davlat tomonidan qo‘llab-quvvatlanadigan Sandworm (APT-C-13 yoki FROZENBARENTS) hacker guruhi yangi kiberhujum kampaniyasini boshladi. Ushbu kampaniyada ular SSH va Tor tunneling texnologiyalarini birlashtirib, qurbon tarmoqlarida uzoq muddatli yashirin kirishni ta’minlamoqda. Bu usul ularning oldingi oddiy malware callback texnikalaridan ancha rivojlangan bo‘lib, endi to‘liq anonim va shifrlangan masofaviy boshqaruv tizimini yaratishga imkon bermoqda.
"Bu yangi yondashuv attackerlarga enterprise firewall’lar ortida ham sezilmasdan ishlash imkonini beradi."
Sandworm kamida 2014-yildan beri faol bo‘lib, asosan hukumat tashkilotlari, diplomatik bo‘limlar, energetika kompaniyalari va ilmiy markazlarni nishonga oladi. Ularning asosiy maqsadi siyosiy, harbiy va texnologik ma’lumotlarni o‘g‘irlash hisoblanadi. So‘nggi kampaniyada ular ikki qatlamli anonim tunnel tizimini qo‘llab, trafikni oddiy network faoliyatiga o‘xshatib yashirishga erishgan.
Hujum spear-phishing email orqali boshlanadi. Email ichida ZIP arxiv bo‘lib, u ochilganda zararli vositalar yashirin tarzda o‘rnatiladi, shu bilan birga foydalanuvchini chalg‘itish uchun haqiqiy ko‘rinishdagi hujjat (decoy) ochiladi.
360 Advanced Threat Research Institute mutaxassislari ushbu kampaniyani tahlil qilib, bir nechta zararli sample’larni aniqladi. Ularning xulosasiga ko‘ra, hujumchilar SSH va Tor’ni birlashtirib, attacker va qurbon tizimi o‘rtasida ikki martalik shifrlangan anonim aloqa kanalini yaratgan.
Ushbu arxitektura attackerlarga tizim ustidan to‘liq nazorat beradi — ular ma’lumotlarni o‘g‘irlashi, tizim ichida harakatlanishi va barcha faoliyatni monitoring tizimlaridan yashirishi mumkin.
Hujum namunasi Iskhod_7582_Predstavlenie_na_naznachenie.zip nomli arxiv orqali tarqatilgan. Arxiv ichida PDF ko‘rinishida yashirilgan zararli LNK fayl va Windows Recycle Bin’ga o‘xshash $RECYCLE.BIN papkasi joylashgan.
.webp)
Foydalanuvchi LNK faylni bosgach, zararli toolkit fon rejimida o‘rnatiladi, shu bilan birga haqiqiy PDF fayl ochilib foydalanuvchini chalg‘itadi.
Hujumning ta’siri juda jiddiy. Toolkit o‘rnatilgach, attackerlar ichki tarmoqqa doimiy kirish imkoniga ega bo‘ladi. Ular lateral harakatlanish, maxfiy fayllarni o‘g‘irlash va remote desktop orqali tizimni boshqarish imkoniyatiga ega bo‘ladi.
Muhim portlar — SMB (445) va RDP (3389) — Tor tarmog‘idagi .onion manzilga yo‘naltiriladi. Bu esa attackerga dunyoning istalgan nuqtasidan firewall’larni chetlab o‘tgan holda ulanish imkonini beradi.
How Sandworm Achieved Persistent Hidden Access
Ushbu kampaniyaning eng muhim texnik jihati — Sandworm tizim ichida uzoq muddatli yashirin kirishni qanday ta’minlaganidir. Zararli fayl ishga tushirilgach, currentSessionTrigger scripti tizim haqiqiy yoki sandbox ekanligini tekshiradi. Buning uchun kamida 10 ta .lnk fayl va 50 dan ortiq aktiv jarayon mavjudligini tekshiradi.
Agar tizim haqiqiy deb topilsa, script ikki ta yashirin scheduled task yaratadi: OperagxRepairTask va DropboxRepairTask. Bu task’lar har bir foydalanuvchi login qilganda avtomatik ishga tushadi va zararli komponentlarni doimiy faol holatda saqlaydi.
.webp)
Ushbu task’lar quyidagi yashirin executable fayllarni ishga tushiradi:
- operagx.exe — aslida OpenSSH server
- dropbox.exe — Tor server
- safari.exe — obfs4 trafikni yashirish plugin’i
- obsstudio.exe — SFTP server
SSH server faqat lokal 20321 portda ishlaydi, bu esa uni tashqi scanning’dan yashiradi. Tor ishga tushgach, .onion hostname yaratiladi va asosiy script ushbu manzilni o‘qib, qurbon tizim haqidagi ma’lumotlarni maxsus C2 serverga yuboradi.
"Natijada tizim ichida doimiy, shifrlangan va to‘liq yashirin boshqaruv kanali yaratiladi."
Mutaxassislar tashkilotlarga quyidagilarni tavsiya qilmoqda: scheduled task’larni muntazam teksh
