APT 俄罗斯 远程控制 Gamaredon 乌克兰
【微步在线报告】Gamaredon团伙再度优化攻击手法继续对乌克兰展开攻击
微步情报局 2020-07-22 17:08:01 2951人浏览

TAG:乌克兰、俄罗斯、APT、远程控制、Gamaredon、政府、军事、外交

TLP:白(报告使用及转发不受限制)

日期:2020-07-07

概述

Gamaredon团伙于2017年被Paloalto安全公司曝光并命名,研究发现该团伙至少从2013年开始活动,并长期针对乌克兰政府高层、外交、国土安全、法务、军事武装、东部克里米亚地区部门发起定向攻击,另有文章 指出该团伙具有俄罗斯背景,疑似隶属于俄罗斯联邦安全局(FSB)。

6月初,微步情报局在监控Gamaredon针对乌克兰的攻击中,发现其在攻击手法上有新变化,并关联发现该团伙大量相关网络资产,具体情况如下:

- 关联监控采集到多个地区社会热点话题为诱饵的恶意lnk文件,涉及到的主题主要分为司法、官僚腐败、民生疫情、国际反恐等方向。相较该团伙此前专注于国家安全通知、军事行动、法律草案等主题范围有明显拓展,但亦具有较强针对性。

在关联的恶意lnk中提取的C&C域名中,部分与此前Gamaredon团伙的网络资产存在重叠,证明Gamaredon团伙在原有基础设施上进行攻击手法的迭代优化。

经过对Gamaredon团伙新攻击手法的关联资产分析判断,该团伙于2月24日前后开始研究测试恶意lnk攻击手法,并于6月开始投入使用并对乌克兰目标展开攻击。

微步情报局针对此次事件共提取相关IOC有18条,可用于威胁情报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API等均已支持此次攻击事件和团伙的检测。

详情

隶属于俄罗斯安全情报部门的APT组织Gamaredon近年来一直针对乌克兰政府高层、外交、国土安全、法务、军事武装、东部克里米亚地区等部门发起定向攻击,其存在明显的军事和政治攻击意图。Gamaredon与APT28、Turla、Sandworm等组织/团伙相比攻击手法相对稳定。从开始的钓鱼邮件投递自解压+vbs后门木马,到钓鱼邮件投递模板注入诱饵文档+宏病毒+vbs后门木马/窃取类型木马,再到近期再度优化钓鱼邮件投递lnk自动下载后门木马。从攻击过程使用的手法判断,Gamaredon一直在原有的技术基础上为攻击的隐蔽性做优化演变以及为攻击目的需求做工具完善。

微步情报局根据对该团伙已有的网络资产监测发现,该组织利用lnk方式替换模板注入诱饵文档方式进行植入后门木马。目前已经发现该组织利用该手法以“根据《乌克兰刑法》第368条第3款涉嫌犯罪的通知”、“关于经济安全局副局长勒索贿赂的事实”、“关于勒索事实”、“请求访问公共信息的问题列表”、“在打击国际恐怖主义的斗争中识别和防止威胁的实际措施”等议题疑似向乌克兰的军事、法务、外交等部门展开攻击。经过关联资产信息分析判断,该团伙在2020年2月24日前后开始测试lnk攻击手法,并于6月开始利用此手法展开攻击。

1.jpg

图-Gamaredon团伙攻击演变略图

样本分析

本部分主要对捕获的样本进行详细分析,具体情况如下:

1、原始恶意样本基础信息:

SHA256
eaa1abf1dd367634f144117d567f5a871eb90193b7a9110b97b3b4fd73a04ad1
SHA1
932b0511bf789158fdbe8f2a60e875fe5b7c5ac4
MD5
1fa4bd94d8638cb8775f919b2c6fbc9e
文件格式
lnk
文件大小
2KB
时间戳
2020-02-24 02:00:35

1)恶意lnk文件中嵌入了调用系统%WINDIR%\System32\mshta.exe下载指定url链接获取并远程执行后门脚本。

2.jpg

2)攻击目标成功加载恶意lnk文件,调用系统mshta.exe下载并远程执行后门脚本。目前采集到的关联url处在失效状态,亦不排除Gamaredon团伙仍处于潜伏状态暂未部署后门脚本或者关联网络资产设置防火墙过滤的可能。

利用lnk手法,可有效减轻在投放钓鱼邮件的负载,也可以有效躲避邮件网关对钓鱼邮件的检测,降低攻击目标的警惕性,提高邮件的投送率,避免前期攻击恶意代码落地。

关联分析

表-关联恶意lnk主题与网络资产信息

Lnk主题
关联URL
采集时间
关联域名
域名注册时间
Повідомлення про підозру у вчиненні злочину передбаченого ч 3 ст 368 КК України[根据《乌克兰刑法》第368条第3款涉嫌犯罪的通知]
http://myristica.ru/index.html
2020-06-21 23:58:01
myristica.ru
2020-06-03
Щодо-корупційних-проявів-з-боку-співробітника-Служби-безпеки-України[关于乌克兰安全局雇员的腐败]
http://validat.freedynamicdns.org/www/post.php
2020-07-01 18:42:42
validat.freedynamicdns.org
2020-06-23
Щодо фактів вимагання хабаря з боку працівника Представництва Президента України в Автономній Республіці Крим[关于乌克兰总统在克里米亚自治共和国境内的代表勒索贿赂的事实]
http://operkot.freedynamicdns.org/var/post.php
2020-07-01 07:50:35
operkot.freedynamicdns.org
2020-06-23
Щодо фактів вимагання хабаря[关于勒索事实]
http://krembo.freedynamicdns.org/cache/post.php
http://vilaged.freedynamicdns.org/home/post.php
2020-06-24 12:02:09
2020-06-27 00:42:17

krembo.freedynamicdns.org
vilaged.freedynamicdns.org

2020-06-23
2020-06-27

Щодо фактів вимагання хабаря з боку заступника начальника відділу економічної безпеки[关于经济安全局副局长勒索贿赂的事实]
http://history.freedynamicdns.org/log/post.php
2020-06-25 16:38:06
history.freedynamicdns.org
2020-06-25
Практичні заходи щодо виявлення та запобігання загрозам у сфері боро[在打击国际恐怖主义的斗争中识别和防止威胁的实际措施]
http://inform.gotdns.ch/bin/index.html
http://inform.bounceme.net/spool/index.html
http://inform.3utilities.com/lib64/index.html
2020-06-18 12:53:24
2020-06-18 13:21:58
2020-06-21 23:58:01

inform.gotdns.ch
inform.bounceme.net
inform.3utilities.com

2020-06-17
2020-06-18

Перелік питань до запиту щодо доступу до публічної інформації[请求访问公共信息的问题申请]
http://validat.freedynamicdns.org/var/post.php
2020-06-23 11:36:59
validat.freedynamicdns.org
2020-06-23

恶意lnk涉及到的主题主要分为官僚腐败、民生疫情、国际反恐等方向。相较此前专注与国家安全局、军事武装、外交等主题范围有明显拓展,但亦具有较强针对性攻击。目前,仍然主要针对乌克兰政府高层、外交、国土安全、法务、军事武装、东部克里米亚地区部门攻击。

表-网络资产关联攻击手法

IOC/域名
关联攻击手法
攻击资产关联时间
krembo.freedynamicdns.org
模板注入
2020-06-22
krembo.freedynamicdns.org
恶意lnk
2020-06-24
opertos.freedynamicdns.org
模板注入
2020-06-17
opertos.freedynamicdns.org
恶意lnk
2020-06-23

表-关联恶意lnk信息

Hash
Lnk主题
采集时间
时间戳
8fc83009aab5f179e8267061f7796b848c1da64d51021492f47c236498eee7fd
关于乌克兰安全局雇员的腐败
2020-07-01 18:42:42
2020-02-24 02:00:35
ceb396614b61408cf590c0a8f0d01b5bb404046de806680d50cfa039b30c5aaf
关于乌克兰总统在克里米亚自治共和国境内的代表勒索贿赂的事实
2020-07-01 07:50:35
2020-02-24 02:00:35
aa4aa3e57f2fdce6f26baca6aedda8cb173bee9589a716f6818ed3b6062930be
关于勒索事实
2020-06-24 12:02:09
2020-02-24 02:00:35
6a0fff01737f917d6adcaa09a9fe10b968f47cd5840b7413ed57e4dab3a32e83
关于勒索事实
2020-06-27 00:42:17
2020-02-24 02:00:35
3bc65ce73726ffe17df6c65638d2b0833da0f221049a32af243184642dbc4fac
在打击国际恐怖主义的斗争中识别和防止威胁的实际措施

2020-02-24 02:00:35
25dcfb64c72f4b8ba1ed4cf6a48810cacb94cc36df0335153d1a8ea9c75e98ac
在打击国际恐怖主义的斗争中识别和防止威胁的实际措施
2020-06-18 12:53:24
2020-02-24 02:00:35
6618185dd0fb9363d5dfeb6a8f32ed2e74418fb378f2b0726afd5198c6991255
在打击国际恐怖主义的斗争中识别和防止威胁的实际措施
2020-06-21 23:58:01
2020-02-24 02:00:35
0f2b6b4ed61f0f54bf5333ca3879d3c31f214d2d386920dbba18cff1d90ec2c1
在打击国际恐怖主义领域确定和预防威胁的实际措施
2020-06-20 04:24:46
2020-02-24 02:00:35
fe934cbb46e88f252ad327ac4735839afbf3b493378fecb7e1dcee961ff12d7c
在打击国际恐怖主义领域确定和预防威胁的实际措施
2020-06-17 19:10:13
2020-02-24 02:00:35
eaa1abf1dd367634f144117d567f5a871eb90193b7a9110b97b3b4fd73a04ad1
根据《乌克兰刑法》第368条第3款涉嫌犯罪的通知
2020-06-03 13:08:18
2020-02-24 02:00:35
93da58d5cbbfdaf29dfa9ebcaf100457c657b9477db14bc0e7084196c96c694a
请求访问公共信息的问题列表
2020-06-23 11:36:59
2020-02-24 02:00:35

恶意lnk的关联网络资产最早激活时间为6月3日,且关联的恶意lnk时间戳都是2020-02-24 02:00:35,说明Gamaredon团伙是在02月24日前后开始研究lnk攻击手法,经过测试磨合之于6月3日之后才利用lnk手法对攻击目标展开攻击。

-----------------------------------------------------

微步情报局

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级APT组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web攻击技术、溯源技术、大数据、AI等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级URL、PDNS、Whois数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级APT组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry勒索事件、BlackTech定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox定向攻击全国上百家手机行业相关企业的事件。