APT界勞模:東歐黑客組織使用魚叉郵件定向攻擊烏克蘭活動總結

概述

Gamaredon APT組織是疑似具有東歐背景的APT團夥，該組織攻擊活動最早可追溯到2013年，其主要針對烏克蘭政府機構官員，反對黨成員和新聞工作者，進行以竊取情報為目的網絡攻擊活動

與傳統的APT組織類似，Gamaredon APT組織會使用可信的發件人對攻擊目標定向發送魚叉郵件，附件一般為rar或者docx文檔，通常採用模板注入作為攻擊鏈的起始部分，執行帶有惡意宏的dot文件，釋放VBS腳本，下載後續Payload，在2020年中旬時，我們在一封釣魚郵件中發現Gamaredon APT組織開始使用Lnk作為第一階段攻擊載荷，Lnk會調用mshta執行遠程hta腳本，釋放誘餌和VBS文件，下載後續Payload。

郵件分析

郵件主題主要涉及烏克蘭軍事、外交、國土安全、法務、新冠防治等領域，語言涉及俄文和英文，我們挑選了幾封具有代表性的郵件：

烏克蘭安全部門改革主題的魚叉郵件。

郵件主題

發件時間

關鍵詞

Для внесення пропозицій（提出建議）

2020-02-03

安全部門、改革

在郵件內容中偽造了兩層轉發

新冠防治主題的魚叉郵件：

郵件主題

發件時間

關鍵詞

Для розгляду та внесення пропозицій（供審議和提交提案）

2020-04-13 22:43 UTC+8

COVID-19、法律草案

以打招呼、問候的形式投遞相關誘餌

郵件主題

發件時間

關鍵詞

Інформаційно-аналітичне дослідження（信息與分析研究）

2020-06-17 22:44 UTC+8

研究、法律政策局、基輔

以提交階段性運營材料和報告的形式投遞魚叉郵件

郵件主題

發件時間

關鍵詞

Оперативне зведення（運營摘要）

2020-07-28 18:08 UTC+8

SBU、DZND、機構、材料

偽裝成律師函的形式投遞誘餌

郵件主題

發件時間

關鍵詞

Про неправомірні дії слідчого СБ  України（關於烏克蘭調查員的非法行為）

2020-09-23 15:33 UTC+8

律師、法律

偽裝成電視臺記者的形式投遞誘餌

郵件主題

發件時間

關鍵詞

№23\01-12\38  від 05.10.2020

2020-10-05 18:31 UTC+8

電視臺記者、發布期限、法律

偽裝成舉報信的形式進行投遞

郵件主題

發件時間

關鍵詞

Терміново. Затримання боевика ДНР（緊急地。拘留DNR好戰分子）

2020-11-19 16:45 UTC+8

拘留、緊急措施

發件人所用郵箱涉及I.ua（烏克蘭最大的免費的免費郵件伺服器）、adps.dpsu（烏克蘭國家邊防局）、danwin1210.me（匿名郵件伺服器），當以律師或者記者的口吻發送郵件時會選擇基於第三方VPS搭建的郵件系統。

整理後的發件郵箱如下：

發件郵箱

i.dadinskiy@i.ua

secretar-apu@i.ua

SVChernytsia@adps.dpsu

moz_ukraine@danwin1210.me

k.savchuk@mail-info.space

atc@kyiv-mail.site

klimov@email-online.site

o.belokurdi@email-online.site

受害者主要為烏克蘭政府機構、反俄人士以及不同政見者，收件郵箱對應相關單位表格如下：

收件郵箱

對應單位

usbu_vol@ssu.gov.ua

ab75zak@ssu.gov.ua

usbu_ivf@ssu.gov.ua

烏克蘭安全局

iac2@rnbo.gov.ua

烏克蘭國家安全與國防委員會

cyber_cherg@adps.dpsu

烏克蘭國家邊防警衛隊

e-contact@dp.gov.ua

烏克蘭第聶伯羅彼得羅夫斯克州國家行政管理局

dpsu@dpsu.gov.ua

烏克蘭國家邊防局

shava_a@ukr.net

疑似反俄人士

 

誘餌文檔分析

捕獲到的Gamaredon APT組織樣本主要有一下幾種：模板注入、宏文檔、Lnk誘餌、SFX等文件

模板注入

在2020年一整年的時間裡，Gamaredon APT幾乎每個月都在投遞模板注入的誘餌文檔，保持了極高的投放頻率，堪稱APT界的「勞模」，這裡我們以2020年11月份投遞的樣本集為例

文件名

MD5

模板注入地址

SHALIMOV.DOCX

11550f9b4e5891951152c2060bc94f95

proserpinus.online/nevertheless/LwRoTct.dot

17-11_від_25.11.2020.docx

6abde64d0e51ba00cccab05365570cea

kasidvk.3utilities.com/instructor/wDewdIf.dot

17-11_від_25.11.2020.docx

b841990b6f15fa26bbbb11e217229bf7

jikods.hopto.org/heap/EAuRvHK.dot

SHALIMOV.DOCX的文檔內容為危險分子的個人資料

17-11_від_25.11.2020.docx的文檔內容如下：

通過要求受害者參與建立「俄羅斯侵略虛擬博物館」的形式對高價值的人物和單位進行攻擊，打開文檔後從遠程伺服器下載帶有惡意宏的Dot文檔，文檔內容如下：

宏代碼功能和結構都與之前沒有太大變化

將wscript重命名為GoogleDisk並移動到%appdata%\Local\Microsoft\Windows目錄下，同時在該目錄下釋放名為GoogleDisk.vbs的文件並執行，GoogleDisk.vbs內容如下：

解密另一個VBS腳本並執行，解密後的腳本為Gamaredon組織常用的VBS Downloader，通過註冊表實現持久化：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\GoogleDisk

收集本機信息，將計算機名和序列號與Useragent進行拼接

監測執行環境是否存在procexp、wireshark、tcpdump等分析工具

最後拼接字符串發起http請求，下載後續payload。

C2：vincula.online/interdependent_/25.11/item.php

我們簡單整理了最近活動的一些宏樣本，文檔內容如下：

值得一提的是稍早一些的樣本在宏代碼中會對VBS腳本和將要下載而來的payload創建兩個任務計劃

整理後的C2如下

C2

decursio.online/index.html

darvini.xyz/{Computer_info}/pr_/20/index.html

Lnk誘餌

       2020年6月到10月期間，我們陸續觀測到一批惡意的俄文Lnk文件異常活躍，數量在40個左右，通過溯源我們找到了最初源頭的郵件。

郵件附件的壓縮包中包含了一個Gamaredon組織常用的模板注入文件和一個Lnk文件

文件名

MD5

類型

Практичні заходи щодо виявлення та  запобігання загрозам у сфері боротьби з міжнародним тероризмом.lnk（在打擊國際恐怖主義領域確定和防止威脅的實際措施）

4423f7fb0367292571150f4a16cdec9a

Lnk文件

Lnk文件功能較為簡單，調用mshta執行遠程的hta文件

C2：inform.3utilities.com/lib64/index.html

遠程伺服器上的html文件內容如下：

html中的VBS代碼與宏樣本中的VBA代碼釋放的第一層VBS腳本幾乎一致，對比如下：

執行的VBS腳本內容如下，會先在下載目錄下釋放一個名為PrintHood.vbs的腳本

接著在同目錄生成一個名為Document.rtf的空文檔文件

分別為PrintHood.vbs和將要下載來的PrintHood.exe創建兩個計劃任務，修改註冊表對PrintHood.vbs實現持久化，最後打開Document.rtf文檔並運行PrintHood.vbs

文檔內容為空，用於迷惑受害者

PrintHood.vbs內容如下，會先獲取計算機名和序列號拼接成User-Agent

從遠程伺服器讀取數據，生成可執行文件並執行

C2：cultiventris.online/index.html

經過挖掘，我們找到了一批同源的Html文件，在對其分析時發現下載了payload的時所使用的另一套邏輯。

先對域名末尾拼接「/income.php」，向遠程伺服器發起請求，如果返回碼不等於200，則會獲取域名對應的IP並在末尾拼接「/interrupt.php」後再次發起請求

整理後的C2如下，有些域名與宏樣本中的域名存在重疊。

C2

rainbowt.site/income.php

78.40.219.213/interrupt.php

rainbowt.site/inspector.php

78.40.219.213/intimate.php

decursio.online/index.html

coriandrum.xyz/index.html

caruman.xyz/index.html

經過關聯這批Lnk文件的元數據幾乎完全一致，通過同一套流程生成而來。

Mac地址對應廠商：PCS Computer SystemsGmbH，也存在偽造mac地址的可能性。近期投遞的Lnk樣本整理如下：

文件名

MD5

C2

Щодо перевірки фактів порушення  корупційного законодавства з боку співробітника ППУ в АР Крим.lnk（關於克裡米亞自治共和國PPU員工對違反腐敗立法事實的核實。）

88b6af1f1583e80dbd3e5930f042cf95

sangorits.hopto.org/reply/updates.html

Доповідь за даними звіту СММ ОБСЄ  від 08.09.2020 214-2020.lnk（根據歐安組織SMM報告日期為08.09.2020 214-2020.lnk的報告）

02aae0f838095a9d70004dae8d600aa1

forkasimov.hopto.org/beau/updates.html

Оперативне зведення станом на 28  липня 2020 року (за матеріалами ДЗНД та регіональних органів СБУ).lnk（截至2020年7月28日的業務摘要（根據烏克蘭國家稅務監察局和烏克蘭安全局地區機構的材料））

aa7c27927cdc2752fb19ed5ebef77c2e

sort.freedynamicdns.org/home/key.html

Клопотання про тимчасовий доступ до  речей і документів у кримінальному провадженні 22019180000000342 від  11.03.2020 року.lnk（要求臨時訪問日期為2020年3月11日的刑事訴訟22019180000000342的物品和文件）

c307be292d9b688827c22de2464abb32

hiodus.bounceme.net/nations/history.html

Розшифровка про дебіторську та  кредиторську заборгованість за бюджетними коштами станом на 01.07.2020  року.lnk（截至01.07.2020.lnk的預算資金對應收款和應付款的解密）

6667410352cbba61e7c49389d55921a1

geros.freedynamicdns.org/bin/key.html

 

SFX樣本

Gamaredon APT組織非常擅長使用SFX文件投遞攻擊載荷。常見的payload有VBS、CMD、OTM等文件，國內外廠商已經對相關細節進行了公布。上半年出現了通過SFX執行VBS腳本的形式實現outLook群發魚叉郵件，SFX文件內容如下：

VBS會調用outlook以「/altvba」參數啟動VbaProject.OTM

VbaProject.OTM中的宏代碼會實現將模板注入樣本contact.docx進行群發的功能

除此之外還有較為傳統的執行流程，SFX執行CMD腳本

創建任務計劃，釋放VBS腳本並執行，VBS發起Post請求，獲取後續payload

有些VBS腳本會發起Get請求獲取後續payload

C2：

strigigena.ru/cookie.php

testudos.ru/agree/reference/hasty.html

總結

       APT攻擊的頻率和次數與所處地緣政治的局勢息息相關，在新冠籠罩下的2020年，以及將要到來的2021年，東歐地區的局勢會更加嚴峻，為這一地區的網絡戰帶來了不確定性。

       奇安信威脅情報中心提醒廣大用戶，切勿打開社交媒體分享的來歷不明的連結，不點擊執行未知來源的郵件附件，不運行誇張的標題的未知文件，不安裝非正規途徑來源的APP。做到及時備份重要文件，更新安裝補丁

若需運行，安裝來歷不明的應用，可先通過奇安信威脅情報文件深度分析平臺（https://sandbox.ti.qianxin.com/sandbox/page）進行簡單判別。目前已支持包括Windows、安卓平臺在內的多種格式文件深度分析。

IOC

MD5

11550f9b4e5891951152c2060bc94f95

6abde64d0e51ba00cccab05365570cea

b841990b6f15fa26bbbb11e217229bf7

4423f7fb0367292571150f4a16cdec9a

88b6af1f1583e80dbd3e5930f042cf95

02aae0f838095a9d70004dae8d600aa1

aa7c27927cdc2752fb19ed5ebef77c2e

c307be292d9b688827c22de2464abb32

6667410352cbba61e7c49389d55921a1

C2:

decursio.online/index.html

darvini.xyz

rainbowt.site/income.php

78.40.219.213/interrupt.php

rainbowt.site/inspector.php

78.40.219.213/intimate.php

coriandrum.xyz/index.html

caruman.xyz/index.html

cultiventris.online/index.html

strigigena.ru/cookie.php

testudos.ru/agree/reference/hasty.html

sangorits.hopto.org/reply/updates.html

forkasimov.hopto.org/beau/updates.html

sort.freedynamicdns.org/home/key.html

hiodus.bounceme.net/nations/history.html

geros.freedynamicdns.org/bin/key.html

inform.3utilities.com/lib64/index.html

vincula.online/interdependent_/25.11/item.php

proserpinus.online/nevertheless/LwRoTct.dot

kasidvk.3utilities.com/instructor/wDewdIf.dot

jikods.hopto.org/heap/EAuRvHK.dot