Группировка Sandworm применяет смарт-контракты Ethereum и фейковую CAPTCHA для атак на украинские ведомства

APT

Государственная служба специальной связи и защиты информации Украины через CERT-UA раскрыла детали многолетней деятельности хакерского кластера UAC-0145, являющегося субкластером известной группировки UAC-0002 (Sandworm, APT44, Seashell Blizzard). Согласно опубликованному отчёту, злоумышленники используют комбинацию классических методов - торрентов с заражёнными установщиками - и современных техник социальной инженерии, включая фиктивную CAPTCHA с выполнением PowerShell-команд.

Описание

Первый вектор компрометации, применяемый несколько лет, связан с распространением бэкдоров через торрент-трекеры. Пользователи скачивали установщики операционной системы Windows и пакета Microsoft Office, содержащие встроенное вредоносное программное обеспечение. Несмотря на массовый характер таких заражений, по крайней мере один случай привёл к боковому перемещению в локальной сети и последующей деструктивной кибератаке на инфраструктуру центрального органа исполнительной власти Украины.

Со временем злоумышленники расширили арсенал, сфокусировавшись на мессенджере Signal. Атаки нацелены прежде всего на военнослужащих, хотя не ограничиваются ими. Атакующие представляются помощниками по установке "антивирусной защиты", ведут длительную переписку с жертвой, иногда предлагают денежное вознаграждение за выполнение инструкций. В результате пользователь запускает на своём компьютере вредоносные файлы, доставляемые через Signal.

В качестве инструментов для реализации замысла используются уже известные программы KALAMBUR, SUMBUR, TAMBUR, а также легитимные утилиты OpenSSH и Tor для организации незаконного удалённого доступа. С их помощью злоумышленники настраивают форвардинг локальных портов (в частности, 445, 3389, 22) на подконтрольный сервер, фактически публикуя внутренние ресурсы в интернете. Кроме того, появились средства для кражи ключей и данных из мессенджеров Signal и WhatsApp; для эксфильтрации используется RSYNC.

Особый интерес представляет новая техника, активно применяемая весной и летом 2026 года - ClickFix. Пользователь заходит на легитимный сайт, который ранее был скомпрометирован. При определённых условиях на странице отображается поддельная CAPTCHA. Для её "прохождения" жертве предлагается скопировать и выполнить в терминале PowerShell команду. Эта команда может, например, загружать и сохранять VBS-файл в папку автозапуска. Один из таких вариантов получил название GHETTOVIBE.

ClickFix

После закрепления в системе злоумышленники используют загрузчик SCOUTCURL - PowerShell-скрипт, проводящий базовую разведку. Он собирает характеристики компьютера, список установленных программ, файлы, данные браузеров и отправляет их на командно-контрольный сервер. Этим злоумышленники оценивают важность цели. Если атака признаётся перспективной, на компьютер может быть дополнительно загружен Python-бэкдор FREAKYPOLL, представленный в виде скомпилированного байт-кода (файл с расширением .pyc). Также среди загрузчиков отмечены FLUIDLEECH (замаскирован под утилиту для удаления "вирусов") и LOADLOOP.

Критически важным элементом инфраструктуры атакующих является SMARTAXE. Как показал предоставленный анализ CERT-UA, основанный на изучении более десяти скомпрометированных вебресурсов за июнь-июль 2026 года, злоумышленники используют сервис Cloaking.House. Этот сервис фильтрует трафик и при определённых условиях показывает посетителю стороннюю HTML-страницу или перенаправляет на другой ресурс. SMARTAXE дополняет его: код динамически получает доменное имя удалённого ресурса из смарт-контракта (вызов eth_call) на блокчейне Ethereum. Адрес контракта и селектор функции жёстко заданы в коде. Это позволяет злоумышленникам менять C2-адрес без модификации самого скрипта - достаточно обновить данные в смарт-контракте.

Особую тревогу вызывает появление вредоносного программного обеспечения для Android. Под видом защитного средства через Signal распространяется APK-файл, кодифицированный как COWARDDUCK. Это полноценный бэкдор, обеспечивающий скрытый сбор данных: технических характеристик устройства, контактов, файлов из папок DCIM, Documents, Downloads, Pictures, Alarms (поддерживаются расширения .conf, .json, .ovpn, .txt, .doc, .docx, .xls, .xlsx, .pptx, .zip, .rar), а также геолокации в реальном времени. Для выгрузки используется API Dropbox, а команды и данные извлекаются из объектов (например, изображений) легитимных сервисов images.stockmemory.site, images.stockmemory.space, steamcommunity.com. Коммуникация с ними идёт через прокси duckduckgo.com.

Методы Sandworm продолжают эволюционировать. Применение смарт-контрактов Ethereum для управления инфраструктурой атаки делает С2-серверы практически неуязвимыми для блокировки по доменным именам - адреса меняются динамически. Атаки на мобильные устройства через Signal и поддельные CAPTCHA указывают на стремление расширить поверхность атаки и обойти традиционные средства защиты, ориентированные на Windows.

Индикаторы компрометации

Domain

  • 365softupdate.com
  • delta.smartlinkupload.com
  • entouchnetworks.com
  • offlce366.com
  • pack.softpacker.org
  • smartlinkupload.com
  • soft.softchecker.org
  • softupdater.org
  • static.diagnostics-monitoring.com
  • static.opennetworkconnect.com
  • update-requirements.com

MD5

  • 20ee4a5c6422fef7f22b26bac3c1b7f2
  • 2b21e2c6ccb1645f45890baf07590600
  • 5d176e6eb88ccfe7d48945fec4262817
  • 65eb40ec0156e2ef0e9732e6fa6fe002
  • a35fc74528f0a03692288ba86dc92960
  • a7ee9222e0e1856f8c1fe341c669ed9b
  • b674f1c1b941b6fa1373207a1d1431de
  • c1e7c4304ba17f77856e8cc809cd69a8
  • df586c8f8bb6f3fda68d0f60345613f3
  • ee85ed7f5d366d84001db0be6c340984

SHA256

  • 0abaae3054d6dc5bee1f17684df98bf427e5c73eb3a0febb123f9ce670dbde78
  • 0c6095acf2e075db839872a0a74000cfb8a3984fff719ac7e5cc11115eefedad
  • 157aca11cdd3482728e1f687cb643f6c063025aebaf488159b4d3bf6aa9aa46d
  • 25606f1239350b2c93d72bfbd63aa165b922326a50a1c79fc9556e74731b673a
  • 45ec265667be203aa552744cbb1c3d10f04f91d8de513eaf8f0ff99817e2b660
  • 488b2b1b5434db7a47471220c0bac940bc5900c258ed076589d45468c4f838c6
  • 6065f5541d4c5e70d7ae821e275856755c900df2971e20d51314d738933bc81e
  • 78e31b518516fd5b11f63dbe91f96aece7d95f027a612b9a8baf9989a0598693
  • 8bd8ab9eef9ebfa683a37c0bcd8a1e29ec032861e01f15bc3488586b400b0982
  • a000fd4ab4c951d246f9db7e9d77dd3f3e91bbafbb93499cadf4ac5e31b77ed6

Комментарии: 0