Gamaredon APT近期攻击活动分析

APT 2年前 (2022) admin
937 0 0

Gamaredon APT近期攻击活动分析


背景概述


近期,安恒信息CERT捕获一批SFX自解压钓鱼样本。经过研判,我们推测本次捕获钓鱼样本属于Gamaredon组织。Gamaredon是位于俄罗斯的高级持续性威胁组织 (APT),与其他威胁组织不同的是,Gamaredon似乎攻击目标仅限于乌克兰国家。部分诱饵文档如下:

Gamaredon APT近期攻击活动分析

部分诱饵文件


攻击流程


本次攻击主要分为两类样本,一类打包诱饵文档以及VNC软件,自解压执行。另一类打包wget程序,远程下载后续模块。攻击流程图如下:

Gamaredon APT近期攻击活动分析

流程图


样本分析


我们将本次捕获的样本分为两类:

Gamaredon APT近期攻击活动分析

样本信息


第一类是伪装成Word文件的SFX自解压程序,此类样本在执行时会释放诱饵文档。最终通过具有合法数字签名的VNC软件实现远程控制。

Gamaredon APT近期攻击活动分析

VNC软件


第二类是伪装成常用工具的SFX自解压程序,此类样本无诱饵文档。通过重命名的wget工具下载第三阶段样本,通常第三阶段样本是VNC软件。

Gamaredon APT近期攻击活动分析

wget下载


Gamaredon APT近期攻击活动分析

wget程序


伪装成Word文件的SFX自解压程序内容如下,在用户运行时会将以下内容释放至%temp%目录,并通过批处理脚本释放并启动VNC软件。

Gamaredon APT近期攻击活动分析

自解压文件内容


伪装成常用工具的SFX自解压程序内容如下,通过批处理脚本启动wget(ImagingDevices.exe)程序下载后续恶意文件。我们未能取得后续恶意文件,根据以往Gamaredon活动推测,wget程序用于下载VNC软件。

Gamaredon APT近期攻击活动分析

自解压文件内容


批处理脚本中判断系统语言环境的代码片段验证了Gamaredon组织的攻击目标仅限于使用俄语的人或乌克兰人。

Gamaredon APT近期攻击活动分析

代码片段


溯源关联


本次攻击活动中,样本关联基础设施与以往Gamaredon组织存在重叠。特征如下:

1. 攻击活动使用域名

本次攻击活动所使用域名及URL:

http://versiya-spread.myftp[.]org/spider/%vers%http://versiya-spread.myftp[.]org/spider/update/%updata%http://updates-spreadwork[.]pwwin32soft[.]comgoogle-spr[.]ddns[.]net/get[.]phpgoogle-drop[.]ddns[.]net/updates[.]phpmicrosoftsupertech[.]comlinux-techworld[.]com

以往攻击活动所使用域名:

versiya-spread.myftp[.]orgwincreator[.]ddns[.]netbitwork[.]ddns[.]netwinrouts[.]ddns[.]netwidusk[.]ddns[.]networkusb[.]ddns[.]nettorrent-videos[.]ddns[.]netsprs-files[.]ddns[.]netsprs-updates[.]ddns[.]netspread-new[.]ddns[.]netdrop-new[.]ddns[.]nettelo-spread[.]ddns[.]netdropdrop[.]ddns[.]netbitvers[.]ddns[.]netmy-certificates[.]ddns[.]netkristousb[.]ddns[.]netmy-work[.]ddns[.]netspr-d2[.]ddns[.]netmilitary-ua[.] ddns[.]netbitlocker[.]ddns[.]netconst-gov[.]ddns[.]nettor-file[.]ddns[.]nettorrent-vnc[.]ddns[.]net

2. 批处理脚本代码片段风格相同

Gamaredon APT近期攻击活动分析

本次攻击活动代码片段


Gamaredon APT近期攻击活动分析

历史攻击活动代码片段



总结


本次分析Gamaredon组织攻击活动与往期捕获Gamaredon组织攻击活动中所使用的样本在战术上并无太大变化。攻击活动中使用的技术难度较低,但Gamaredon组织使用各种公开的三方软件,如某VNC软件、7z压缩程序、wget程序。这也意味着,此类攻击方法在实战中具有一定的效果。


IOC


http://versiya-spread.myftp[.]org/spider/%vers%

http://versiya-spread.myftp[.]org/spider/update/%updata%

http://updates-spreadwork[.]pw

win32soft[.]com

google-spr[.]ddns[.]net/get[.]php

google-drop[.]ddns[.]net/updates[.]php

microsoftsupertech[.]com

linux-techworld[.]com


7ZSfxMod_x86.exe   

F868477F18B7DE522E40198E124DA37C

CSPSetup.exe

9FE56980FB9E30DE04D1643E36E4A0D1

AdapterTroubleshooter.exe

0ABA458D3A395079E2E8A940B84F8F94

7ZSfxMod_x86.exe

2F61AB38AD39627682C1BA8922320E30

AdapterTroubleshooter.exe

27D55B1BFD4330E73937859C2EAF1D27

7ZSfxMod_x86.exe

49749EE8FB2A2DAB83494AB0E6CF5E7B     

7ZSfxMod_x86.exe

DE71A9BFCFA46F8186F53B41D7B7E40F


安恒信息CERT


安恒信息CERT是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。中心成员由丰富攻防经验的资深安全技术专家组成,联动安恒威胁情报中心,共同针对最新威胁情报主动发现,重大安全漏洞、安全事件进行深度挖掘、分析、溯源,并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。



安恒信息CERT

2022年5月

原文始发于微信公众号(安恒信息CERT):Gamaredon APT近期攻击活动分析

版权声明:admin 发表于 2022年5月26日 下午4:40。
转载请注明:Gamaredon APT近期攻击活动分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...