俄羅斯駭客Sandworm透過寄生攻擊隱匿行蹤，對烏克蘭大型商業服務及地方政府機關下手

隨著軍事行動持續進行，俄羅斯對烏克蘭企業組織的網路攻擊接連傳出，最近又有資安業者揭露相關事故，並指出駭客廣泛運用寄生攻擊（LoL）與常見合法工具，真正自己打造的惡意軟體並不多，這樣的情況使得企業組織更難察覺異狀。

資安業者賽門鐵克指出，他們近期發現疑似與Sandworm有關的俄羅斯駭客組織，攻擊一家大型商業服務公司，以及地方政府部門，分別入侵長達兩個月及一週，目的是收集情報。對於接觸受害組織的管道，駭客很可能鎖定能從網際網路存取的伺服器，藉由尚未修補的已知漏洞而得逞，隨後就在伺服器部署LocalOlive等Web Shell，而這正是他們判斷與Sandworm有關的依據。

鎖定商業服務公司的攻擊，最早可追溯到6月27日，當時駭客嘗試在伺服器部署Web Shell，得逞後進行偵察並收集受害主機的系統資訊，並執行PowerShell命令竄改防毒軟體Microsoft Defender設定，將下載資料夾加入白名單，這麼做應該是為了避免相關下載檔案遭到攔截。

接著，駭客建立每半小時執行一次的工作排程，試圖從記憶體挖掘敏感資料，並將登錄檔的內容儲存在事件記錄檔案。

兩天後這些駭客再度活動，於受害電腦植入第二個Web Shell，對網路環境進行偵察，然後移轉到第二臺電腦，並確認是否部署賽門鐵克的防毒軟體，接著，他們似乎想要從密碼管理工具KeePass挖掘帳密資料。

7月2日，第二臺電腦再度出現活動，駭客試圖查詢所有使用者的連線階段（Session）活動記錄。7月8日，他們在電腦建立每半個小時執行一次的工作排程，目的疑為從KeePass處理程序收集帳密。

再間隔約莫一個星期，16日駭客濫用電腦內建的記憶體診斷公用程式Windows資源洩漏診斷工具（rdrleakdiag.exe），截取記憶體內容並輸出到下載資料夾。

後續駭客於7月18日和23日，繼續橫向移動到第三及第四臺電腦，接著在24日部署OpenSSH，並透過PowerShell命令竄改防火牆規則，開放OpenSSH連線所需的22埠，然後透過網域帳號建立工作排程，每半個小時執行未知的後門link.ps1，此後門同樣會濫用rdrleakdiag將記憶體內容輸出到下載資料夾。

值得一提的是，攻擊者也在受害電腦的下載資料夾裡，部署MicroTik路由器管理公用程式winbox64.exe，但用途為何，賽門鐵克表示不清楚。