APT 远程控制 Gamaredon Pterodo
【微步在线报告】Gamaredon团伙针对乌克兰大选发起定向攻击
微步情报局 2019-04-30 16:51:37 2904人浏览

TAG:乌克兰、大选、APT、远程控制、Gamaredon、Pterodo

TLP: 白(报告转发及使用不受限制)

日期:2019-04-23

一、概要

Gamaredon团伙于2017年被Paloalto安全公司曝光并命名,研究发现该团伙至少从2013年开始活动,并长期针对乌克兰政府部门发起定向攻击,另有文章 指出该团伙具有俄罗斯背景,疑似隶属于俄罗斯联邦安全局(FSB)。

近期正值乌克兰大选,微步在线威胁情报云捕获Gamaredon针对乌克兰的攻击样本,并关联发现该团伙大量相关网络资产,具体情况如下:

Ø  近期捕获多个以乌克兰安全法草案、乌克兰东部选举办公室情报、乌克兰国家机构关于公务员事务的问题等话题为诱饵的攻击样本,针对性较强。

Ø  相关样本释放的木马均属于Pterodo家族,该木马为Gamaredon团伙专用。

Ø  通过对木马控制域名关联发现,该团伙自2019年2月以来又部署了大量动态域名和新注册域名,疑似用于针对乌克兰大选发起定向攻击。

Ø  微步在线针对此次事件共提取相关IOC70条,可用于威胁情报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API等均已支持此次攻击事件和团伙的检测。

二、详情

微步在线近期捕获了一个名为ЗауваженняАпарату Ради національної безпеки і оборони України до проекту ЗаконуУкраїни  Про Службу безпеки України.scr(乌克兰国家安全和国防委员会对乌克兰“乌克兰安全局”法草案的意见)的可疑文件,该文件后缀使用了scr(windows系统屏幕保护程序),实则为一个SFX (自解压)文件,是病毒木马常用的伪装手法。

该样本执行后会打开一个正常的doc文件,以掩盖其真实目的。


而样本实际的执行流程如下图所示:

image.png

三、样本分析

本部分主要对捕获的样本进行详细分析,具体情况如下:

1、原始恶意样本基础信息:

SHA256 bca3470926f0e4203750873d89c9a181fd3bc22f037e09722fe72ff750175b38
SHA1 0e2175a8f6328e1f020350bbb1edcb690b78fd17
MD5 8d4d133df52a4fe07833e80627b67cc6
文件格式 PE文件(exe)
文件大小 1304KB
时间戳 2016-03-05 20:06:17

2、样本使用了Microsoft Office图标,诱使目标用户双击运行。样本执行后会自解压释放样本组件(25597.cmd、18480、18979、10013)。

image.png

3、将释放出的文件分别重命名,10013为10013.exe,重命名18979为Документ Microsoft Office Word.docx,重命名18480 为 Cookies.lnk。

image.png

image.png

4、将Cookies.lnk复制到APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\Cookies.lnk 实现开机自启动。

image.png

5、利用密码dcthfdyjdfcdst,tv运行10013.exe释放文件Cook,并重命名Cook 为OfficeCookies.exe。

image.png

6、启动OfficeCookies.exe 再次解压释放MicrosoftCreate.exe、6600.cmd,同时执行6600.cmd。

image.png

7、OfficeCookies为一款典型的Pterodo木马,其基本信息如下:

SHA256 8e6112bee2334a3d690fb16253bffd57b9733a2fb931b28657d3a6aaee042336
SHA1 1b61a43dfe68a4c381e1ab8d02bd3a65857a874a
MD5 4238285f4d34944c7bb7ebb4a2ccceeb
文件格式 PE文件(exe)
文件大小 827KB
文件名 OfficeCookies.exe
时间戳 2016-03-05 20:06:17

8、MicrosoftCreate.exe复制到 C:..\APPDATA\Microsoft\IE\ie_cash.exe。

image.png

9、下载核心配置木马http://bitqueshions.ddns.net/VBCCSB-PC_CC5D85EE/setup.exe。

image.png

image.png

10、调用systeminfo.exe获取系统详细配置信息(ComputerName、ID、HostName、SysInfo、OS Name、OS 等)。调用ie_cash.exe,与C&C(http://wordqueshion.ddns.net)建立通信,将获取的系统配置信息向C&C Post传输。

image.png

image.png

11、接收并执行C&C远程控制指令,可实现远程桌面控制、文件操作、系统管理等功能。

image.png

四、关联分析

通过微步在线追踪溯源系统对上述样本的C&C(wordqueshion.ddns.net、bitqueshions.ddns.net)进行关联分析,在185.158.114.95、193.19.118.65等IP地址上还存在大量类似域名及样本,效果如下图所示:

image.png

整理发现,图中出现的域名具有较强的相似性,其部分已经被识别为Gamaredon团伙所有,研判认为相关资产均属于该团伙:

可疑域名 域名类型 相关ip 备注信息
wordqueshion.ddns.net 动态域名 185.158.114.95 最早解析时间:2019-03-07
workan.ddns.net 动态域名 185.158.114.95 最早解析时间:2019-03-06
winrouts.ddns.net 动态域名 185.158.114.95 最早解析时间:2019-04-14
usbqueshions.ddns.net 动态域名 185.158.114.95 最早解析时间:2019-03-09
telemetriya.hopto.org 动态域名 185.158.114.95 最早解析时间:2019-04-11
lisingrout.ddns.net 动态域名 185.158.114.95 最早解析时间:2019-04-10
gamework.ddns.net 动态域名 185.158.114.95 最早解析时间:2019-03-29
bitwork.ddns.net 动态域名 185.158.114.95 最早解析时间:2019-03-20
bitqueshions.ddns.net 动态域名 185.158.114.95 最早解析时间:2019-03-09
librework.ddns.net 动态域名 185.158.114.95 最早解析时间:2019-03-29
workusb.ddns.net 动态域名 185.158.114.95 最早解析时间:2019-04-16
torrent-videos.ddns.net 动态域名 193.19.118.65 最早解析时间:2018-12-12
bitsadmin1.space 非动态域名 193.19.118.65 注册时间:2019-01-21
microsoft-analise.site 非动态域名 193.19.118.65 注册时间:2019-02-25
microsoft-bits.site 非动态域名 193.19.118.65 注册时间:2019-02-25
microsoft-office.site 非动态域名 193.19.118.65 注册时间:2019-02-25
bitsadmin3.space 非动态域名 193.19.118.65 注册时间:2019-02-13
bitsadmin4.space 非动态域名 193.19.118.65 注册时间:2019-02-20
microsoft-macros.site 非动态域名 193.19.118.65 注册时间:2019-02-25
microsoft-usb.site 非动态域名 193.19.118.65 注册时间:2019-02-25
wordmacros.space 非动态域名 193.19.118.65 注册时间:2019-02-15

除上表中的资产外,对相关域名历史及当前解析IP进一步拓线还能够发现更多可疑域名,而对关联域名排查发现,部分存在与恶意样本通信的情况,这些恶意样本基本属于Gamaredon团伙专用木马Pterodo,加上使用的诱饵文档均与乌克兰有关,因此判断此次攻击活动为Gamaredon团伙针对乌克兰大选发起的定向攻击。

image.png

image.png

威胁指标(IOC)
匿名用户 2019-05-27 19:49:39 回复
匿名用户 2019-05-05 14:46:59 回复
赞~
Tangyixin2 2019-05-05 14:46:45 回复
今日推荐