Neue Sandworm-Taktiken nutzen SSH-over-Tor-Tunnel für langfristige, versteckte Persistenz

In dieser neuesten Kampagne verfeinerten die Angreifer ihre Methoden, indem sie zweischichtige anonyme Tunnel einsetzten, die darauf ausgelegt sind, sich in normalen Netzwerkverkehr einzufügen.

Die Infektion beginnt mit einer Spear-Phishing-E-Mail, die ein ZIP-Archiv enthält, das beim Öffnen stillschweigend bösartige Tools installiert, während es ein scheinbar legitimes Ablenkungsdokument anzeigt, um das Opfer unbewusst zu lassen.

Forscher des 360 Advanced Threat Research Institute identifizierten mehrere bösartige Samples, die mit dieser Kampagne in Verbindung stehen, und stellten fest, dass die Gruppe SSH- und Tor-geschachteltes Tunneling nutzte, um einen doppelt verschlüsselten anonymen Kanal zwischen dem Angreifer und dem kompromittierten Host aufzubauen.

Diese Architektur gab den Angreifern uneingeschränkten

Diese Architektur gab den Angreifern uneingeschränkten Zugriff auf die Systeme der Opfer und ermöglichte es ihnen, sensible Daten zu extrahieren, ohne standardmäßige Verkehrsinspektionstools auszulösen oder Alarme überwachungssystemen auszulösen.

Die Angriffsproben wurden in einem ZIP-Archiv mit dem Namen Iskhod_7582_Predstavlenie_na_naznachenie.zip und dem MD5-Hash von 2156c270ffe8e4b23b67efed191b9737 geliefert.

In diesem Archiv versteckte die Gruppe einen bösartigen LNK-Shortcut, der als PDF-Dokument getarnt war, zusammen mit einem falschen Ordner namens $RECYCLE.BIN, der so eingestellt war, dass er das Verzeichnis des Windows-Papierkorbs nachahmte.

Angriffsablauf (Quelle – 360) Sobald das

Angriffsablauf (Quelle – 360) Sobald das Opfer die LNK-Datei anklickte, wurde das gesamte Angriffswerkzeugset leise im Hintergrund eingesetzt, während das echte Ablenkungs-PDF geöffnet wurde, um den Benutzer dieses Angriffs ist schwerwiegend.

Sobald das Toolkit eingerichtet war, erlangten die Angreifer dauerhafte Kontrolle über das interne Netzwerk des Opfers und waren in der Lage, lateral zu agieren, auf sensible Dateien zuzugreifen und den Remote Desktop zu betreiben.

Kritische lokale Ports, darunter SMB Port 445 und RDP Port 3389, wurden auf eine Dark-Web-Onion-Adresse gemappt, was es dem Angreifer ermöglichte, von überall auf der Welt über das Tor-Netzwerk zu verbinden und alle eingehenden Firewall-Schutzmaßnahmen zu umgehen.

Moegliche Anwendungen

Wie Sandworm dauerhaften versteckten Zugriff erlangte Der technisch auffälligste Teil dieser Kampagne ist, wie Sandworm langfristigen Zugriff in den Systemen der Opfer eingebettet hat, indem es Tools verwendete, die als bekannte Anwendungen getarnt waren.

Nachdem die LNK-Datei das Hauptsteuerungsskript currentSessionTrigger auslöste, überprüfte das Skript zuerst, ob es auf einer echten Maschine lief, indem es nach mindestens 10 kürzlichen .lnk-Dateien und 50 oder mehr aktiven Prozessen suchte.

Wenn die Umgebung diese Überprüfungen bestand, registrierte das Skript zwei geplante Aufgaben mit den Namen OperagxRepairTask und DropboxRepairTask, die beide aus der Standardansicht des Task Schedulers versteckt waren und so sicherstellten, dass bösartige Payloads bei jeder Benutzeranmeldung automatisch gestartet wurden.

Geplante Aufgabe (Quelle – 360) Diese

Geplante Aufgabe (Quelle – 360) Diese Aufgaben starteten zwei getarnte ausführbare Dateien: operagx.exe, die tatsächlich ein OpenSSH-Daemon war, und dropbox.exe, das ein Tor-Server war.

Eine dritte Datei, safari.exe, fungierte als obfs4 Traffic-Obfuscation-Plugin und formte den gesamten Tor-Verkehr in zufällige TCP-Streams um, um Unternehmens-Firewalls und Deep-Packet-Inspection-Systeme zu umgehen. Eine vierte Datei, obsstudio.exe, diente als SFTP-Server für stille Dateiübertragungen.

Der SSH-Daemon wurde so konfiguriert, dass er nur auf dem lokalen Loopback-Port 20321 lauschte, wodurch er für externe Netzwerkscans unsichtbar blieb. Sobald der Tor-Dienst gestartet wurde, generierte er einen versteckten .onion-Hostname.

Holz als technisches Geruest

Das Hauptsteuerungs-Skript las diesen Hostnamen und sendete die Identifikationsdaten des Opfers an eine hartkodierte C2-Adresse unter kvk46su7d2qi6g4n43syp4zbsf2rihnc6ztj77qtc2ojvewjqvqilnqd.onion mithilfe , um die Verbindung aufrechtzuerhalten und einen permanenten verschlüsselten Schatten-Kontrollkanal innerhalb des Netzwerks des Opfers zu schließen.

Organisationen sollten geplante Aufgaben regelmäßig auf Einträge überprüfen, die vertrauenswürdige Anwendungen wie Browser oder Cloud-Speicherprogramme imitieren. Sicherheitsteams sollten die Firewalls so konfigurieren, dass sie Tor-bezogenen und obfs4-Verkehr am Perimeter erkennen und blockieren.

Die Mitarbeiter benötigen kontinuierliche Schulungen, um zu vermeiden, ZIP-Anhänge öffnen, insbesondere Dateien mit LNK-Verknüpfungen, die als Dokumente getarnt sind.

Es wird dringend empfohlen, Endpunkterkennungstools einzusetzen,

Es wird dringend empfohlen, Endpunkterkennungstools einzusetzen, die SSH-Serverprozesse identifizieren, die aus AppData-Verzeichnissen mit nicht standardmäßigen Portkonfigurationen laufen. Sie uns auf

Der Beitrag New Sandworm Tradecraft Uses SSH-over-Tor Tunnel for Long-Term Hidden Persistence erschien zuerst bei Cyber Security News.