De Sandworm, een Russische militaire groep voor cyber-spionage, richt zich op Windows-gebruikers in Oekraïne met getrojaniseerde Microsoft Key Management Service (KMS) activators en nep Windows-updates.

Deze aanvallen zijn waarschijnlijk eind 2023 begonnen en zijn nu door de EclecticIQ-bedreigingsanalisten gekoppeld aan Sandworm-hackers, gebaseerd op overlappende infrastructuur, consistente tactieken, technieken en procedures (TTP’s) en vaak gebruikte ProtonMail-accounts om domeinen te registreren die bij de aanvallen worden gebruikt.

De aanvallers hebben ook een BACKORDER loader gebruikt om DarkCrystal RAT (DcRAT) malware in te zetten (gebruikt in eerdere Sandworm-aanvallen) en debug-symbolen die verwijzen naar een Russische taalomgeving, wat verder het vertrouwen van de onderzoekers versterkt dat Russische militaire hackers hierbij betrokken waren.

EclecticIQ identificeerde zeven malware-distributiecampagnes die gekoppeld zijn aan dezelfde kwaadaardige activiteitencluster, waarbij elk gebruik maakt van vergelijkbare lokmiddelen en TTP’s. Onlangs, op 12 januari 2025, zagen de analisten de aanvallen slachtoffers infecteren met de DcRAT remote access Trojan in gegevensdiefstal-aanvallen waarbij gebruik werd gemaakt van een typo-squatted domein.

Zodra het op het apparaat van een slachtoffer is geplaatst, toont het nep KMS-activeringshulpmiddel een nep Windows-activeringsinterface, installeert de malwareloader en schakelt het Windows Defender uit op de achtergrond alvorens de uiteindelijke RAT-lading af te leveren.

Het einddoel van de aanvallen is om gevoelige informatie van geïnfecteerde computers te verzamelen en deze naar door de aanvaller gecontroleerde servers te sturen. De malware steelt toetsaanslagen, browsercookies, browsergeschiedenis, opgeslagen inloggegevens, FTP-inloggegevens, systeeminformatie en screenshots.

Het gebruik van kwaadaardige Windows-activators door Sandworm werd waarschijnlijk ingegeven door het grote aanvalsoppervlak dat werd geopend door het veelvuldig gebruik van illegale software in Oekraïne, wat ook de overheidssector van het land plaagt.

“Veel gebruikers, waaronder bedrijven en kritieke entiteiten, zijn overgestapt op illegale software van onbetrouwbare bronnen, waardoor tegenstanders zoals Sandworm (APT44) een unieke kans krijgen om malware in wijdverspreide programma’s te verbergen,” aldus EclecticIQ.

“Deze tactiek maakt grootschalige spionage, datadiefstal en netwerkcompromittering mogelijk, wat een directe bedreiging vormt voor de nationale veiligheid van Oekraïne, de kritieke infrastructuur en de veerkracht van de privésector.”

Sandworm (ook wel gevolgd als UAC-0113, APT44 en Seashell Blizzard) is een hackersgroep die sinds ten minste 2009 actief is en deel uitmaakt van de Militaire Eenheid 74455 van de Hoofdinlichtingendienst (GRU), de militaire inlichtingendienst van Rusland, die zich voornamelijk richt op het uitvoeren van ontwrichtende en destructieve aanvallen gericht op Oekraïne.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----