三管齐下,APT组织Gamaredon在近期加紧对乌克兰的网络攻势

一、概述

今年第二季度开始,绿盟科技伏影实验室发现APT组织Gamaredon开始频繁使用多种不同类型的攻击方式对乌克兰赫尔松州、顿涅茨克州等地区的军方和警方目标进行网络攻击。

在该攻击周期中,Gamaredon主要使用了恶意office文档、恶意htm附件、恶意SFX文件等攻击工具,配合精心设计的诱饵信息,组合成三类不同的攻击流程。跟踪分析发现,Gamaredon在7月下旬明显增加了各类攻击活动的频度,诱饵投递数量达到新的高峰。

结合Gamaredon以往攻击行为与时事发展,我们推测,7月下旬的第二次攻击高峰,可能标志着俄军新动作的到来。

二、组织信息

俄罗斯APT组织Gamaredon最早的活动可追溯至2013年。该组织长期针对各东欧国家尤其是乌克兰的政府部门开展钓鱼攻击活动,常用的工具包括伪装成政府官方文件的各式诱饵、各类脚本程序以及多种自制的木马程序。

乌克兰方面将Gamaredon组织归咎于俄罗斯联邦安全局(FSB)。

Gamaredon以其庞大的攻击规模著称。该组织凭借其大量攻击资源,持续投放生存周期极短的各类攻击组件,以最大程度减少暴露和反制的几率。

随着俄乌战争局势逐步升级,Gamaredon组织明显增加了其网络攻击频率,积极使用各种已知手法尝试渗透乌克兰政府、军营、警局等重点机构。

三、趋势分析

对Gamaredon近期使用的三类攻击活动进行跟踪分析的过程中,我们发现该组织在7月之后明显加强了攻击频度,且攻击趋势呈现以下两个方面:

  1. Gamaredon增加了对恶意htm附件鱼叉攻击流程和SFX自解压文件攻击流程的依赖;
  2. 攻击者使用的诱饵内容,从早期的新闻类信息逐渐转向现在的军事类信息。

我们跟踪研究发现,一方面,Gamaredon常用的一种恶意SFX自解压文件攻击流程,在4月底和7月底出现了两次明显的高峰,流程中携带的诱饵也逐渐统一为各式俄罗斯军方文档;另一方面,一种包含恶意htm附件和lnk文件的鱼叉式攻击也在7月中下旬迎来攻击高峰,此类鱼叉邮件的诱饵内容也更多聚焦于乌克兰军方信息和网络安全类信息。

以使用htm和lnk攻击链的第二类攻击活动为例,我们捕获了2022年2季度以来的相关样本,提取其中的恶意lnk文件并以文件创建时间为轴绘制了如下统计图:

图3.1 第二类攻击活动频度统计图

可以发现,整个第二季度,Gamaredon对该类攻击方式的使用较少,仅在5月初出现较高频的投放;而从7月中旬开始,Gamaredon明显提升了lnk鱼叉攻击活动的频度,每周可以观测到10余起此类事件。

利用SFX文件的第三类攻击活动也展现了类似的变化。我们以在野出现时间为轴,统计此类活动的频次如下图:

图3.2 第三类攻击活动频度统计图

可以发现,SFX类诱饵的投放频次整体比较平均,同样是在4月底和近期出现了两次高峰,与第二类攻击活动的步调比较一致。

上述统计表明,Gamaredon组织在7月下旬明显加强了对乌克兰的网络攻击频度,并且更多使用军方文件类信息作为诱饵,可以判断该组织正在对乌克兰军方目标展开密集攻势。

在上一次Gamaredon攻击高峰的4月底5月初,俄军发起了准备并执行了顿巴斯战役,推动了多次合围攻势。因此我们推测,7月下旬的第二次攻击高峰,可能标志着俄军新动作的到来。

四、活动分析

4.1 第一类攻击活动:伪装成警局文件的恶意文档

在这类活动中,Gamaredon使用的主要诱饵是一种伪装成乌克兰语调查报告的恶意文档。我们发现该类型的恶意文档大多携带执勤记录、警务记录、处理报告等常见警方文件内容,主要被Gamaredon用来攻击乌克兰各地区的警务人员。

一个近期发现的此类文档名为“РАПОРТ МРУП 06.06.22.docx”(报告 MRUP 06.06.22.docx),该文档滥用了Office远程模板机制,会在打开时尝试获取指定网络位置:

http[:]//faithfully.glitter17.drowrang[.]ru/WIN-BDQQL5EO1F2/interested/naturalists/lowered/lowered/lowered.hr2

的恶意载荷并运行。观察文档中的诱饵文字可以发现,其直接攻击目标为乌克兰顿涅茨克地区警局。

图4.1 第一类攻击活动诱饵文档A

其他该类型诱饵还包括一种名为“Копия ЗАРПЛПТА Травень 2022.docx”(ZARPLTA 2022 年 5 月的副本.docx)的文档,携带恶意链接为http[:]//enforce.interdependent23.vipertos[.]ru/DESKTOP-STA1AO7/salmon/salmon.udb,该位置实际存放了一种多阶段执行的vbs脚本载荷。相关内容表明该诱饵的直接目标为乌克兰军的A4267部队。

图4.2 第一类攻击活动诱饵文档B

4.2 第二类攻击活动:伪装通知类邮件投递恶意html附件

Gamaredon的第二类活动主要以鱼叉邮件的形式展开。

这是一种出现在本年度第二季度的新式攻击流程。Gamaredon攻击者在鱼叉邮件中放入层层包裹的恶意附件,并通过精心构造的邮件内容诱骗受害者打开邮件附件。该类攻击活动主要针对乌克兰军方人员。

以我们在7月26日发现的一组名为“Інформаційний бюлетень.eml”(新消息.eml)的鱼叉邮件为例,该邮件中,Gamaredon将自己伪装成乌克兰安全局国家学院(Національна академія СБУ),声称该邮件是“2022年7月25日乌克兰安全局反情报部门的安全公告”。由于乌克兰安全局确实承担反网络间谍的工作,因此该邮件内容具有一定欺骗性。

图4.3 第二类攻击活动诱饵邮件

该邮件携带的附件名为“Інформаційний бюлетень_25.07.2022.htm”,该htm文件的主要功能为释放内置的压缩文件并打开,压缩文件内则存放着名为“Інформаційний бюлетень Департаменту контрозвідки Служби безпеки України від 25 липня 2022 року.lnk”的恶意快捷方式文件。

上述恶意快捷方式将下载运行位于http://a0698649.xsph.ru/selection/headache.xml的后续攻击载荷。在已捕获的同类攻击活动中,后续攻击载荷一般是一种Gamaredon自制的powershell后门,用来窃取受害者主机信息。

我们统计了此类邮件中出现的诱饵名称,发现它们大多与乌克兰军方的重点情报相关,反映了Gamaredon攻击者对乌军编制、命令编号、文件编号等内容的深度理解。

表4.1 第二类攻击活动诱饵文件名统计表

诱饵文件名  
План підходу та закладання вибухівки на об’єктах критичної інфростурктури Херсона 在赫尔松关键基础设施的物体上接近和铺设炸药的计划
Витяг з наказу Генерального штабу Збройних Сил України від 08.05.2022 №768 摘自乌克兰武装部队总参谋部 2022 年 5 月 8 日的命令 #768
Наказ Генерального прокурора України № 427 від 03.06.2022(Про порядок підготовки, направлення та опрацювання спеціальних повідомлень) 乌克兰总检察长 2022 年 6 月 3 日第 427 号令(关于准备、发送和处理特别报告的程序)
Providing additional military assistance to the defenders of Ukraine (a list of necessary military supplies in the fight against Russia) 向乌克兰的捍卫者提供额外的军事援助(对抗俄罗斯的必要军事物资清单)
Попереднє бойове розпорядження зі зв’язку начальника штабу – першего заступника командира 43 оабр 参谋长初步作战通信令——第43联军第一副司令员
Інформаційний бюлетень Департаменту контрозвідки Служби безпеки України від 25 липня 2022 року 2022 年 7 月 25 日乌克兰安全局反情报部门的信息公告
XML-рахунок за 06-2022(відомість замовлених і наданих телекомунікаційних послуг та диференційований рахунок) 06-2022 的 XML 账单(订购和提供的电信服务和差异化账单的详细信息)
Щодо фактів переслідування та вбивства працівників Прокуратури з боку російських військових на тимчасово окупованих територіях 关于俄罗斯军方在临时占领区迫害和杀害检察署工作人员的事实
Матеріали перевірки ІТС ІПНПУ №15633 від 11.04.2022 року 2022 年 4 月 11 日 ITS IPNPU No. 15633 检验材料
Бойове розпорядження командира військової частини – польова пошта И4533 №42-15 від 13.06.2022 року 军事单位指挥官的战斗命令 – 2022 年 6 月 13 日第 42-15 号野战邮件 I4533
На виконання наказу Офісу Генерального прокурора № 309 від 30.09.2021, наказу Генерального прокурора № 409 від 03.09.2020, повідомляю наступне 根据检察长办公室 2021 年 9 月 30 日第 309 号令、检察长办公室 2020 年 9 月 3 日第 409 号令,现通知如下

4.3 第三类攻击活动:诱饵SFX自解压文件投放远控木马

Gamaredon的第三类活动依赖一种SFX自解压文件。该类活动同样针对乌克兰军方。

这是一种本年度大量出现的攻击手法,Gamaredon攻击者将一种名为UltraVNC的远程桌面工具与该组织常用的SFX诱饵思路相结合,实现对目标系统的远程控制。

典型的SFX自解压文件带有类似“Резюме кандидата на должность ВПК.docx.exe_”(军工联合体职位候选人的简历)的名称,使用扩展名欺骗的方式诱使受害者运行该文件。

该类自解压文件包含多个子文件,分别为UltraVNC远程桌面工具、用于配置该工具的cmd指令文档和ini配置文档、以及一份欺骗用的诱饵文档。

图4.4 第三类攻击活动SFX文件内容

相关配置文件中,该UltraVNC的CnC为licensecheckout[.]com。

名为“kandidat.docx”的诱饵文档则显示了一份俄罗斯人员简历。

图4.5 第三类攻击活动诱饵文档A

其他类似的文档大多带有军方信息,例如如下所示的俄军军饷调整文档:

图4.6 第三类攻击活动诱饵文档B

该诱饵文档展示了第三类攻击活动与Gamaredon其他活动的不同之处。在已发现的同类样本中,Gamaredon攻击者都加入了用俄语编写的诱饵文档,具体内容则包含俄罗斯政府与军队的敏感信息。由此可以推测此类攻击活动的直接目标为对此类敏感信息感兴趣的乌克兰组织,很可能包括乌克兰安全局等情报机构。

  五、总结

随着战争局势进入新阶段,俄乌双方在赫尔松州北部、扎波罗热州东北部、顿涅茨克州西部、卢甘斯克州西北部展开了长期的拉锯战。Gamaredon组织同样在上述区域保持活跃,持续增加对上述地区的军方、警方等目标的网络攻势,此类攻击在7月下旬迎来明显的高峰。

在本轮从第二季度开始的网络攻击行动中,Gamaredon对各类攻击方式的区分比较明确,如恶意office类文档主要针对乌东各州警方目标,恶意快捷方式附件主要针对乌军各部队目标,恶意SFX文件则统一携带俄语军事信息类诱饵,但偶尔也会出现交换攻击目标的情况。该现象说明,Gamaredon组织内部具有明确的分工和少量的配合。上述攻击方式的相同之处在其精心设计的诱饵文字信息,展现了Gamaredon对乌克兰语环境和乌克兰军队变动的深刻理解。这些内容可能来自于Gamaredon长期情报运营工作的积累,也证明了该组织所具备的强大社工和情报收集能力。

六、IoCs

doc:

d3892ac66381824cd7308f4908023339edb1f73c5272354d2ff1614a3c7f5389
a93ff0e6c42aa3f011a53108dc9b224dc85d9e0930f81e3b3010801089126e4e

sfx:
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lnk:
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url:
http[:]//faithfully.glitter17.drowrang[.]ru/WIN-BDQQL5EO1F2/interested/naturalists/lowered/lowered/lowered.hr2

http[:]//enforce.interdependent23.vipertos[.]ru/DESKTOP-STA1AO7/salmon/salmon.udb

http[:]//a0698649.xsph[.]ru/selection/headache.xml

http[:]//a0700424.xsph[.]ru/refuse/refreshment.xml

http[:]//randomain[.]ru/preparations/rejection.xml

http[:]//a0667987.xsph[.]ru/basic/bare.xml

http[:]//a0667987.xsph[.]ru/preparations/rejection.xml

http[:]//a0695487.xsph[.]ru/banisters/guess.xml

http[:]//a0656203.xsph[.]ru/dealing/heading.xml

http[:]//a0662337.xsph[.]ru/guard/guardian.xml

http[:]//a0698649.xsph[.]ru/reliance/grudge.xml

http[:]//a0698262.xsph[.]ru/quickly/neville.xml

http[:]//a0698649.xsph[.]ru/preparations/band.xml

http[:]//a0693131.xsph[.]ru/guess/presented.xml

http[:]//a0698649.xsph[.]ru/barley/barley.xml

http[:]//a0693131.xsph[.]ru/precious/segment.xml

http[:]//a0693131.xsph[.]ru/queer/seedlings.xml

http[:]//a0700461.xsph[.]ru/series/region.xml

http[:]//a0698262.xsph[.]ru/see/guilty.xml

http[:]//a0671808.xsph[.]ru/basic/header.xml

http[:]//a0685511.xsph[.]ru/reign/guide.xml

http[:]//a0695487.xsph[.]ru/relationship/preservation.xml

http[:]//intent.milotraf[.]ru/send/intellectual.mgu

http[:]//a0693131.xsph[.]ru/prepare/seize.xml

http[:]//a0681546.xsph[.]ru/death/quickly.xml

win32soft[.]com

licensecheckout[.]com

microsoftsupertech[.]com

microsofttechinfo[.]com

getvalerianllc[.]com

linux-techworld[.]com

bitsbfree[.]com

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

伏影实验室专注于安全威胁监测与对抗技术研究。
研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。