TAG:乌克兰、俄罗斯、APT、远程控制、Gamaredon、政府、军事、外交
TLP:白(报告使用及转发不受限制)
日期:2020-07-07
概述
Gamaredon团伙于2017年被Paloalto安全公司曝光并命名,研究发现该团伙至少从2013年开始活动,并长期针对乌克兰政府高层、外交、国土安全、法务、军事武装、东部克里米亚地区部门发起定向攻击,另有文章 指出该团伙具有俄罗斯背景,疑似隶属于俄罗斯联邦安全局(FSB)。
6月初,微步情报局在监控Gamaredon针对乌克兰的攻击中,发现其在攻击手法上有新变化,并关联发现该团伙大量相关网络资产,具体情况如下:
- 关联监控采集到多个地区社会热点话题为诱饵的恶意lnk文件,涉及到的主题主要分为司法、官僚腐败、民生疫情、国际反恐等方向。相较该团伙此前专注于国家安全通知、军事行动、法律草案等主题范围有明显拓展,但亦具有较强针对性。
- 在关联的恶意lnk中提取的C&C域名中,部分与此前Gamaredon团伙的网络资产存在重叠,证明Gamaredon团伙在原有基础设施上进行攻击手法的迭代优化。
- 经过对Gamaredon团伙新攻击手法的关联资产分析判断,该团伙于2月24日前后开始研究测试恶意lnk攻击手法,并于6月开始投入使用并对乌克兰目标展开攻击。
- 微步情报局针对此次事件共提取相关IOC有18条,可用于威胁情报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API等均已支持此次攻击事件和团伙的检测。
详情
隶属于俄罗斯安全情报部门的APT组织Gamaredon近年来一直针对乌克兰政府高层、外交、国土安全、法务、军事武装、东部克里米亚地区等部门发起定向攻击,其存在明显的军事和政治攻击意图。Gamaredon与APT28、Turla、Sandworm等组织/团伙相比攻击手法相对稳定。从开始的钓鱼邮件投递自解压+vbs后门木马,到钓鱼邮件投递模板注入诱饵文档+宏病毒+vbs后门木马/窃取类型木马,再到近期再度优化钓鱼邮件投递lnk自动下载后门木马。从攻击过程使用的手法判断,Gamaredon一直在原有的技术基础上为攻击的隐蔽性做优化演变以及为攻击目的需求做工具完善。
微步情报局根据对该团伙已有的网络资产监测发现,该组织利用lnk方式替换模板注入诱饵文档方式进行植入后门木马。目前已经发现该组织利用该手法以“根据《乌克兰刑法》第368条第3款涉嫌犯罪的通知”、“关于经济安全局副局长勒索贿赂的事实”、“关于勒索事实”、“请求访问公共信息的问题列表”、“在打击国际恐怖主义的斗争中识别和防止威胁的实际措施”等议题疑似向乌克兰的军事、法务、外交等部门展开攻击。经过关联资产信息分析判断,该团伙在2020年2月24日前后开始测试lnk攻击手法,并于6月开始利用此手法展开攻击。
图-Gamaredon团伙攻击演变略图
样本分析
本部分主要对捕获的样本进行详细分析,具体情况如下:
1、原始恶意样本基础信息:
| SHA256 |
eaa1abf1dd367634f144117d567f5a871eb90193b7a9110b97b3b4fd73a04ad1 |
|---|---|
| SHA1 |
932b0511bf789158fdbe8f2a60e875fe5b7c5ac4 |
| MD5 |
1fa4bd94d8638cb8775f919b2c6fbc9e |
| 文件格式 |
lnk |
| 文件大小 |
2KB |
| 时间戳 |
2020-02-24 02:00:35 |
1)恶意lnk文件中嵌入了调用系统%WINDIR%\System32\mshta.exe下载指定url链接获取并远程执行后门脚本。
2)攻击目标成功加载恶意lnk文件,调用系统mshta.exe下载并远程执行后门脚本。目前采集到的关联url处在失效状态,亦不排除Gamaredon团伙仍处于潜伏状态暂未部署后门脚本或者关联网络资产设置防火墙过滤的可能。
利用lnk手法,可有效减轻在投放钓鱼邮件的负载,也可以有效躲避邮件网关对钓鱼邮件的检测,降低攻击目标的警惕性,提高邮件的投送率,避免前期攻击恶意代码落地。
关联分析
表-关联恶意lnk主题与网络资产信息
| Lnk主题 |
关联URL |
采集时间 |
关联域名 |
域名注册时间 |
|---|---|---|---|---|
| Повідомлення про підозру у вчиненні злочину передбаченого ч 3 ст 368 КК України[根据《乌克兰刑法》第368条第3款涉嫌犯罪的通知] |
http://myristica.ru/index.html |
2020-06-21 23:58:01 |
myristica.ru |
2020-06-03 |
| Щодо-корупційних-проявів-з-боку-співробітника-Служби-безпеки-України[关于乌克兰安全局雇员的腐败] |
http://validat.freedynamicdns.org/www/post.php |
2020-07-01 18:42:42 |
validat.freedynamicdns.org |
2020-06-23 |
| Щодо фактів вимагання хабаря з боку працівника Представництва Президента України в Автономній Республіці Крим[关于乌克兰总统在克里米亚自治共和国境内的代表勒索贿赂的事实] |
http://operkot.freedynamicdns.org/var/post.php |
2020-07-01 07:50:35 |
operkot.freedynamicdns.org |
2020-06-23 |
| Щодо фактів вимагання хабаря[关于勒索事实] |
http://krembo.freedynamicdns.org/cache/post.php http://vilaged.freedynamicdns.org/home/post.php |
2020-06-24 12:02:09 2020-06-27 00:42:17 |
krembo.freedynamicdns.org vilaged.freedynamicdns.org |
2020-06-23 2020-06-27 |
| Щодо фактів вимагання хабаря з боку заступника начальника відділу економічної безпеки[关于经济安全局副局长勒索贿赂的事实] |
http://history.freedynamicdns.org/log/post.php |
2020-06-25 16:38:06 |
history.freedynamicdns.org |
2020-06-25 |
| Практичні заходи щодо виявлення та запобігання загрозам у сфері боро[在打击国际恐怖主义的斗争中识别和防止威胁的实际措施] |
http://inform.gotdns.ch/bin/index.html http://inform.bounceme.net/spool/index.html http://inform.3utilities.com/lib64/index.html |
2020-06-18 12:53:24 2020-06-18 13:21:58 2020-06-21 23:58:01 |
inform.gotdns.ch inform.bounceme.net inform.3utilities.com |
2020-06-17 2020-06-18 |
| Перелік питань до запиту щодо доступу до публічної інформації[请求访问公共信息的问题申请] |
http://validat.freedynamicdns.org/var/post.php |
2020-06-23 11:36:59 |
validat.freedynamicdns.org |
2020-06-23 |
恶意lnk涉及到的主题主要分为官僚腐败、民生疫情、国际反恐等方向。相较此前专注与国家安全局、军事武装、外交等主题范围有明显拓展,但亦具有较强针对性攻击。目前,仍然主要针对乌克兰政府高层、外交、国土安全、法务、军事武装、东部克里米亚地区部门攻击。
表-网络资产关联攻击手法
| IOC/域名 |
关联攻击手法 |
攻击资产关联时间 |
|---|---|---|
| krembo.freedynamicdns.org |
模板注入 |
2020-06-22 |
| krembo.freedynamicdns.org |
恶意lnk |
2020-06-24 |
| opertos.freedynamicdns.org |
模板注入 |
2020-06-17 |
| opertos.freedynamicdns.org |
恶意lnk |
2020-06-23 |
表-关联恶意lnk信息
| Hash |
Lnk主题 |
采集时间 |
时间戳 |
|---|---|---|---|
| 8fc83009aab5f179e8267061f7796b848c1da64d51021492f47c236498eee7fd |
关于乌克兰安全局雇员的腐败 |
2020-07-01 18:42:42 |
2020-02-24 02:00:35 |
| ceb396614b61408cf590c0a8f0d01b5bb404046de806680d50cfa039b30c5aaf |
关于乌克兰总统在克里米亚自治共和国境内的代表勒索贿赂的事实 |
2020-07-01 07:50:35 |
2020-02-24 02:00:35 |
| aa4aa3e57f2fdce6f26baca6aedda8cb173bee9589a716f6818ed3b6062930be |
关于勒索事实 |
2020-06-24 12:02:09 |
2020-02-24 02:00:35 |
| 6a0fff01737f917d6adcaa09a9fe10b968f47cd5840b7413ed57e4dab3a32e83 |
关于勒索事实 |
2020-06-27 00:42:17 |
2020-02-24 02:00:35 |
| 3bc65ce73726ffe17df6c65638d2b0833da0f221049a32af243184642dbc4fac |
在打击国际恐怖主义的斗争中识别和防止威胁的实际措施 |
2020-02-24 02:00:35 |
|
| 25dcfb64c72f4b8ba1ed4cf6a48810cacb94cc36df0335153d1a8ea9c75e98ac |
在打击国际恐怖主义的斗争中识别和防止威胁的实际措施 |
2020-06-18 12:53:24 |
2020-02-24 02:00:35 |
| 6618185dd0fb9363d5dfeb6a8f32ed2e74418fb378f2b0726afd5198c6991255 |
在打击国际恐怖主义的斗争中识别和防止威胁的实际措施 |
2020-06-21 23:58:01 |
2020-02-24 02:00:35 |
| 0f2b6b4ed61f0f54bf5333ca3879d3c31f214d2d386920dbba18cff1d90ec2c1 |
在打击国际恐怖主义领域确定和预防威胁的实际措施 |
2020-06-20 04:24:46 |
2020-02-24 02:00:35 |
| fe934cbb46e88f252ad327ac4735839afbf3b493378fecb7e1dcee961ff12d7c |
在打击国际恐怖主义领域确定和预防威胁的实际措施 |
2020-06-17 19:10:13 |
2020-02-24 02:00:35 |
| eaa1abf1dd367634f144117d567f5a871eb90193b7a9110b97b3b4fd73a04ad1 |
根据《乌克兰刑法》第368条第3款涉嫌犯罪的通知 |
2020-06-03 13:08:18 |
2020-02-24 02:00:35 |
| 93da58d5cbbfdaf29dfa9ebcaf100457c657b9477db14bc0e7084196c96c694a |
请求访问公共信息的问题列表 |
2020-06-23 11:36:59 |
2020-02-24 02:00:35 |
恶意lnk的关联网络资产最早激活时间为6月3日,且关联的恶意lnk时间戳都是2020-02-24 02:00:35,说明Gamaredon团伙是在02月24日前后开始研究lnk攻击手法,经过测试磨合之于6月3日之后才利用lnk手法对攻击目标展开攻击。
-----------------------------------------------------
微步情报局
微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级APT组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。
微步情报局由精通木马分析与取证技术、Web攻击技术、溯源技术、大数据、AI等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级URL、PDNS、Whois数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级APT组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry勒索事件、BlackTech定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox定向攻击全国上百家手机行业相关企业的事件。
添加图片