Группировка Sandworm использует двойной тоннель из SSH и Tor для скрытого доступа к корпоративным сетям

Организация Sandworm известна своей активностью с 2014 года. Она традиционно занимается кибершпионажем в пользу одного из государств, расположенных в Восточной Европе. За прошедшее десятилетие её тактика постоянно совершенствовалась: от простых фишинговых писем хакеры перешли к сложным многоступенчатым атакам с использованием уязвимостей нулевого дня и нескольких уровней анонимизации. Нынешняя кампания не стала исключением.

Вредоносные образцы были захвачены центрами мониторинга угроз. Специалисты обнаружили цепочку заражения, в рамках которой злоумышленники через фишинговые письма отправляют жертвам ZIP-архив, содержащий ярлык LNK, замаскированный под PDF-документ. При открытии такого архива вредоносная программа начинает многоступенчатый процесс развёртывания. Сначала она рекурсивно ищет в папках пользователя свой собственный архив, извлекает его содержимое и запускает управляющий скрипт. Этот скрипт создаёт две автоматические задачи, имитирующие обновления популярных программ: одна задача маскируется под обслуживание браузера Opera GX, другая - под ремонт облачного сервиса Dropbox.

Ключевая особенность атаки заключается в том, что обе эти задачи запускают не легитимные программы, а вредоносные компоненты. Первая задача запускает Tor-сервер, переименованный в файл похожего на установщик Dropbox. Вторая задача запускает SSH-сервер, замаскированный под исполняемый файл браузера Opera GX. Вместе они образуют двойной зашифрованный тоннель. Tor-сервер устанавливает соединение с сетью Tor через особые мосты obfs4. Этот протокол маскирует Tor-трафик под случайные двоичные данные, делая его неотличимым от обычного интернет-шума. Далее, через этот Tor-канал уже прокладывается SSH-соединение, которое даёт злоумышленникам доступ к внутренним ресурсам жертвы.

Особую опасность представляет то, что Sandworm использует функцию HiddenServicePort в Tor. Благодаря ей локальные служебные порты Windows, такие как SMB (445) для доступа к файлам и RDP (3389) для удалённого рабочего стола, становятся доступны через уникальный .onion-адрес в сети Tor. Это означает, что атакующему не нужно преодолевать внешний брандмауэр компании. Любой человек, знающий этот адрес и имеющий необходимый SSH-ключ, может подключиться к корпоративной сети из любой точки мира так, как будто он находится внутри неё. При этом все соединения шифруются дважды, а в системных журналах вместо подозрительных внешних подключений фиксируются лишь обращения к localhost.

Процедура закрепления в системе продумана до мелочей. Управляющий скрипт перед запуском проверяет, не работает ли уже его копия: для этого используется специальный системный объект (мьютекс). Если копия уже активна, повторный запуск блокируется. Кроме того, скрипт проверяет среду на признаки виртуальной машины или песочницы для анализа. Например, он считает количество ярлыков в папке "Недавние документы" и общее число запущенных процессов. Если эти показатели ниже определённых пороговых значений, скрипт решает, что находится в изолированной среде, и немедленно завершает работу, не оставляя следов.

После успешного запуска вредоносная программа открывает перед пользователем настоящий PDF-документ, чтобы отвлечь внимание. Тема документа связана с военными кадровыми назначениями и написана на одном из языков Восточной Европы. Пока жертва изучает этот безобидный файл, все вредоносные компоненты уже удаляют свои установочные папки, не оставляя улик на диске. Затем начинается передача данных о заражённой системе на командный сервер, расположенный в скрытой сети Tor. Для этого используется тот же двойной тоннель.

Примечательно, что атакующие заранее подготовились к блокировкам Tor в развитых корпоративных сетях. Обфускация трафика через мосты obfs4 делает протокол невидимым для систем глубокого анализа пакетов (DPI). Даже если компания блокирует все известные IP-адреса узлов Tor, этот трафик всё равно проходит как обычное TCP-соединение. Более того, в конфигурации Tor указан целый ряд портов для потенциального использования в будущем, включая нестандартные номера. Это говорит о том, что Sandworm готовит инструмент для долговременного контроля, а не для быстрой разовой кражи данных.

Атака такого типа особенно опасна для компаний, которые полагаются исключительно на периметровую защиту - брандмауэры и системы обнаружения вторжений. Двойной тоннель делает бесполезными все классические методы блокировки подозрительных внешних подключений. Единственный способ защиты - это сочетание строгих политик фишинговой устойчивости среди сотрудников, ограничения запуска скриптов и ярлыков из вложений, а также сегментация внутренних сетей, чтобы даже при проникновении в один сегмент злоумышленник не мог свободно перемещаться между критическими системами.

Использование Sandworm этой техники подтверждает тенденцию: хакеры всё чаще отказываются от простых "обратных консолей" в пользу многослойных анонимных каналов управления, которые копируют архитектуру законных удалённых рабочих мест. Это усложняет не только обнаружение атаки, но и её расследование после факта утечки данных, так как логов внешних подключений просто не существует. Организациям следует пересмотреть свои стратегии мониторинга, включив в них анализ аномалий внутрисетевого трафика, особенно соединений между рабочими станциями и localhost на нестандартных портах. Без таких мер даже самая современная защита периметра может оказаться беспомощной перед атакой нового поколения.

Onion Domains

• 2zrek3mkl72d5b6evpkx2rz2glzrltiorgblpfb2ttg6lacwlsdk4iqd.onion
• 3xl6xhboulyuez6fuydyhj7pdvkshzn4ogsmgwbb3ukrkvgi6bcwvfyd.onion
• e3mnde5uyuxjoztup6t3m7nykbicexbzra76ucligwgsaez65w63y2ad.onion
• imnlyhj4mtmtesqrvf7c4ma6dkxeyxw3ae53w6fuz42spndg7zpat6qd.onion
• kvk46su7d2qi6g4n43syp4zbsf2rihnc6ztj77qtc2ojvewjqvqilnqd.onion
• nytiplwknkinobjaeb5tajjiglip3vtaccju6ta7d47u5u64ktrwhrqd.onion

MD5

• 09f402a02b615dcd14786aaa840db0a2
• 0b6f7356919b9632c1158681ee0462f3
• 1b39fce74193dd2cd5c36b2f8b626273
• 2156c270ffe8e4b23b67efed191b9737
• 227b3fa386cad73f0f388d801060e2c8
• 487557c9b7288a6b035911a7652ad57c
• 4d5074d6e0722ceec45a083fa8444164
• 53ac08488544ad1fefd6363db44549cf
• 5db8e71b8e82661408f96b43e7ae8faf
• 6616717dfb2a795113b47d862c5412e2
• 99732e49668e56527963742922277459
• a6d095dc0e01f97db7e74cb5bed402dc