2023年5月至9月期间，被追踪为“Sandworm”的俄罗斯国家支持的黑客组织在乌克兰入侵了11家电信服务提供商。这是基于乌克兰计算机应急小组（CERT-UA）的一份新报告，该报告引用了“公共资源”和从一些被破坏的供应商那里检索到的信息。

该机构表示，俄罗斯黑客“干扰”了该国11家电信公司的通信系统，导致服务中断和潜在的数据泄露。

Sandworm是一个非常活跃的间谍威胁组织，与俄罗斯武装部队有联系。它在整个2023年都将注意力集中在乌克兰，攻击中使用了网络钓鱼诱饵、安卓恶意软件和数据擦除器。

瞄准电信公司

攻击开始于Sandworm使用“masscan”工具对电信公司的网络进行侦察，对目标的网络进行扫描。

质量扫描脚本示例

Sandworm寻找开放端口和未受保护的RDP或SSH接口，可以利用这些接口破坏网络。此外，攻击者使用“ffuf”、“gowitness”等工具来查找Web服务中的潜在漏洞，这些漏洞可用于获取访问权限。未受多因素身份验证保护的受损VPN帐户也被用来获得网络访问权限。为了让他们的入侵更加隐蔽，Sandworm使用“Dante”、“socks5”和其他代理服务器通过他们之前入侵过的乌克兰互联网区域内的服务器来进行他们的恶意活动，使其看起来不那么可疑。CERT-UA报告称，在被破坏的ISP系统中发现了两个后门，即“Poemgate”和“Poseidon”。

Poemgate捕获试图在受损端点中进行身份验证的管理员的凭据，为攻击者提供访问其他帐户的权限，这些帐户可以用于横向移动或更深层次的网络渗透。Poseidon是一个Linux后门，乌克兰机构称其“包含全套远程计算机控制工具”。Poseidon的持久性是通过修改Cron以添加流氓作业来实现的。

Cron 二进制修改以增加 Poseidon 的持久性

Sandworm使用Whitecat工具删除攻击痕迹并删除访问日志。在攻击的最后阶段，黑客部署了会导致服务中断的脚本，尤其是关注Mikrotik设备，并擦除备份，使恢复更具挑战性。

损害 Mikrotik 设备的脚本

CERT-UA建议乌克兰所有服务提供商遵循指南中的建议，使网络入侵者更难入侵其系统。

---

转自E安全，原文链接：https://mp.weixin.qq.com/s/9nZXGfc4aiWQ0AFm9ENiuw

封面来源于网络，如有侵权请联系删除