Μία από τις πιο επικίνδυνες ομάδες χάκερ στον κόσμο που υποστηρίζονται από το κράτος στοχεύει ενεργά διακομιστές Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Εργασίας (RDP) σε κρίσιμες υποδομές, αμυντικούς οργανισμούς και κυβερνητικές υπηρεσίες.
Ο ηθοποιός απειλής, γνωστός ως APT-C-13 και ευρέως παρακολουθούμενος ως Sandworm, APT44, Seashell Blizzard και Voodoo Bear, διεξάγει εδώ και καιρό επιχειρήσεις στον κυβερνοχώρο τουλάχιστον από το 2009.
Η τελευταία του καμπάνια, ωστόσο, σηματοδοτεί μια απότομη αλλαγή στρατηγικής — απομάκρυνση από καταστροφικές, εφάπαξ απεργίες προς ήσυχη, μακροπρόθεσμη διείσδυση που έχει σχεδιαστεί για τη συλλογή πληροφοριών για εκτεταμένες περιόδους.
Το σημείο εισόδου της καμπάνιας είναι μια συγκαλυμμένη εικόνα ISO με το όνομα Microsoft.Office.2025x64.v2025.isoπου διανέμεται μέσω καναλιών Telegram και κοινοτήτων διάρρηξης λογισμικού στην Ουκρανία.
Όταν ένα θύμα προσαρτά την εικόνα και προσπαθεί να εγκαταστήσει ή να ενεργοποιήσει αυτό που φαίνεται να είναι το Microsoft Office, κρυφοί εκτελεστές μεταμφιεσμένοι ως auto.exe ή setup.exe εκκίνηση σιωπηλά στο παρασκήνιο.
.webp.jpeg)
Οι αναλυτές της Weixin στο Κέντρο Πληροφοριών 360 Threat εντόπισαν αυτήν την καμπάνια και επιβεβαίωσε ότι το APT-C-13 αναπτύσσει ένα αρθρωτό πλαίσιο διείσδυσης γνωστό ως σειρά Tambur/Sumbur/Kalambur.
Οι ερευνητές περιγράφουν τη συνολική μετατόπιση της ομάδας ως μετάβαση από τη «στιγμιαία διακοπή» στον «επίμονο παρασιτισμό που βασίζεται στην ευφυΐα» – μια υπολογισμένη εξέλιξη που παρατηρήθηκε μεταξύ 2024 και 2026.
Ένα επιβεβαιωμένο θύμα ήταν τεχνικός σε ένα ουκρανικό κρατικό εργοστάσιο ναυπηγικής και κατασκευής μηχανημάτων, όπου οι δράστες είχαν ήδη δημιουργήσει βαθιά, μυστική πρόσβαση.
Ο αντίκτυπος αυτής της εκστρατείας είναι σοβαρός και εκτεταμένος. Επειδή η αλυσίδα επιθέσεων καταχράται κατά κύριο λόγο τα νόμιμα εργαλεία των Windows — συμπεριλαμβανομένων προγραμματισμένων εργασιών, SSH, PowerShell και RDP — οι τυπικές λύσεις προστασίας από ιούς συχνά αποτυγχάνουν να προειδοποιήσουν.
Η ομάδα δεν βιάζεται πλέον. φυτεύεται ήσυχα και παραμένει για μήνες, εξάγοντας σιγά σιγά ευαίσθητα δεδομένα από το αξιόπιστο περιβάλλον του οργανισμού.
Αυτό που το κάνει ιδιαίτερα ανησυχητικό είναι ότι από τη στιγμή που οι περισσότεροι οργανισμοί συνειδητοποιήσουν ότι κάτι δεν πάει καλά, οι επιτιθέμενοι πιθανότατα έχουν ήδη πετύχει τους στόχους τους.
Επιμονή μέσω της αεροπειρατείας RDP και της μυστικής διάνοιξης σήραγγας
Η πιο ανησυχητική τεχνική πτυχή αυτής της εκστρατείας είναι ο τρόπος με τον οποίο οι επιτιθέμενοι σκάβουν και μένουν κρυμμένοι για μεγάλες περιόδους.
Η ενότητα Tambur δημιουργεί επιμονή φυτεύοντας προγραμματισμένες εργασίες που ονομάζονται “Tambur” και “Protector” μέσα στο \Microsoft\Windows\WDI\Protector\ διαδρομή — μια τοποθεσία που έχει σχεδιαστεί για να μοιάζει ακριβώς με ένα εγγενές στοιχείο διαγνωστικής υποδομής των Windows.
Αυτές οι εργασίες εκτελούνται με πλήρη δικαιώματα σε επίπεδο διαχειριστή και χρησιμοποιούν έναν σκληρό κωδικό πρόσβασης (1qaz@WSX) για τη διατήρηση σταθερής, αδιάλειπτης πρόσβασης στην υπηρεσία RDP στον μολυσμένο κεντρικό υπολογιστή.
.webp.jpeg)
Οι μονάδες Kalambur και Sumbur επεκτείνουν αυτόν τον έλεγχο περαιτέρω δρομολογώντας όλη την κίνηση εντολής και ελέγχου (C2) μέσω του ανώνυμου δικτύου Tor, καλύπτοντας αποτελεσματικά την πραγματική τοποθεσία του εισβολέα.
Χρησιμοποιώντας αντίστροφη σήραγγα SSH, ο εισβολέας αντιστοιχίζει τη θύρα RDP του θύματος (3389) σε μια απομακρυσμένος διακομιστής C2, που επιτρέπει αθόρυβες απομακρυσμένες συνδέσεις από οπουδήποτε στον κόσμο.
Το Sumbur, η πιο εκλεπτυσμένη επανάληψη αυτού του πλαισίου, μιμείται την υπηρεσία ενημέρωσης του Microsoft Edge — αποθηκεύει κακόβουλα VBScript σε έναν ψεύτικο κατάλογο ενημερώσεων Edge και ενεργοποιώντας τα κάθε τέσσερις ώρες για να συνδυάζονται άψογα με την κανονική δραστηριότητα λογισμικού.
Ολοκληρώνει την επίθεση είναι η ενότητα DemiMur, η οποία εισάγει ένα πλαστό πιστοποιητικό ρίζας (DemiMurCA.crt) στον αξιόπιστο χώρο αποθήκευσης πιστοποιητικών του συστήματος.
Από εκείνο το σημείο και μετά, τα Windows αντιμετωπίζουν όλα τα επόμενα κακόβουλα ωφέλιμα φορτία ως πλήρως αξιόπιστα και υπογεγραμμένα.
Σε συνδυασμό με αναγκαστικά Εξαιρέσεις του Microsoft Defender που καλύπτουν ολόκληρη τη μονάδα δίσκου C, το εγγενές επίπεδο ασφαλείας του κεντρικού υπολογιστή εξουδετερώνεται πλήρως, αφήνοντας τους εισβολείς με ένα καθαρό και μη ανιχνεύσιμο περιβάλλον λειτουργίας.
.webp.jpeg)
Οι οργανισμοί θα πρέπει να αποκλείσουν αμέσως τα εργαλεία ενεργοποίησης τρίτων και τις μη εξουσιοδοτημένες εικόνες ISO από την είσοδο στα δίκτυά τους, καθώς αυτά χρησιμεύουν ως το κύριο κανάλι παράδοσης για αυτήν την επίθεση.
Η συμπεριφορά του εσωτερικού δικτύου — συμπεριλαμβανομένης της προγραμματισμένης δημιουργίας εργασιών, των τροποποιήσεων μητρώου και της εκτέλεσης του PowerShell — θα πρέπει να παρακολουθείται στενά για ενδείξεις παραβίασης. Η ασφάλεια του τελικού σημείου πρέπει να ενημερώνεται πλήρως με τακτικές ολοκληρωμένες σαρώσεις.
Τα βασικά ιδρύματα και οι βιομηχανικοί οργανισμοί θα πρέπει επίσης να ενισχύσουν τις πρακτικές εσωτερικού ελέγχου και να δημιουργήσουν συγκεκριμένους κανόνες ανίχνευσης με στόχο την ανώμαλη δραστηριότητα RDP και SSH για την πρόληψη της μακροπρόθεσμης κλοπής πληροφοριών.
