Група кібершпигунів Sandworm з Росії спрямовує свої атаки на українських користувачів операційної системи Windows, використовуючи трояни, які маскуються під KMS-активатори та підроблені оновлення. За даними, ці атаки, ймовірно, розпочалися наприкінці 2023 року, і фахівці EclecticIQ відносять їх до Sandworm, враховуючи схожість їх інфраструктури, узгоджені тактики, методи і процедури, а також регулярне використання акаунтів ProtonMail для реєстрації атакувальних доменів.
Зловмисники також застосовували інструмент завантаження BACKORDER для розгортання шкідливого програмного забезпечення DarkCrystal RAT (DcRAT) та використовували символи, що свідчать про російськомовне середовище збірки.
За даними EclecticIQ, було зафіксовано сім кампаній розповсюдження шкідливого ПЗ, які належать до одного й того ж кластеру злочинної активності, кожна з яких використовує схожі приманки та процедури. 12 січня 2025 року аналітики відзначили, що під час атак на викрадення даних із доменів з орфографічними помилками жертви заражалися трояном для віддаленого доступу DcRAT.
Після встановлення на пристрій жертви, підроблений KMS-активатор відтворює фальшивий інтерфейс активації Windows, завантажує шкідливий завантажувач і вимикає Windows Defender у фоновому режимі, що дозволяє запустити основний компонент RAT. Основна мета цих атак полягає у зборі конфіденційної інформації з інфікованих комп’ютерів та її передачі на сервери, що контролюються зловмисниками. Шкідливе ПЗ збирає дані про натискання клавіш, файли cookie, історію переглядів, збережені облікові дані, FTP-паролі, системну інформацію та знімки екранів.
Використання зловмисних Windows-активаторів від Sandworm, ймовірно, обумовлено великим потенціалом для атак, що виник через широке застосування піратського програмного забезпечення в Україні, навіть у державному секторі. «Багато користувачів, включаючи підприємства та критично важливі організації, використовують піратське ПЗ з ненадійних джерел, що дає супротивникам, таким як Sandworm (APT44), відмінну можливість інтегрувати шкідливе ПЗ у популярні програми. Ця стратегія сприяє широкомасштабному шпигунству, викраденню даних та компрометації мереж, що безпосередньо загрожує національній безпеці України, її критичній інфраструктурі та стабільності приватного сектора», — зазначає EclecticIQ.
Sandworm (також відома як UAC-0113, APT44 і Seashell Blizzard) — це хакерська група, яка діє щонайменше з 2009 року і є частиною військової частини 74455 ГРУ Російської Федерації. Звіт EclecticIQ містить детальний аналіз атак і роботи їх шкідливого ПЗ.