概述

GamaredonAPT组织是疑似具有东欧背景的APT团伙,该组织攻击活动最早可追溯到2013年,其主要针对乌克兰政府机构官员,反对党成员和新闻工作者,以窃取情报为目的。

根据奇安信红雨滴团队观测从2019年末至今,Gamaredon组织保持高强度的活跃状态,且每次活动都与乌克兰地区的政治以及安全动态有关。2020年1月25日乌克兰安全局宣布在2019年共阻止了482次针对关键基础设施的网络攻击。

在五一假期前后,奇安信红雨滴团队发现Gamaredon组织开始了新活动,在此次活动中,该组织依然使用模板注入的方式从远程服务器下载payload,与以往不同的是本次活动下载的payload为带有cve-2017-11882漏洞的rtf文档,而非以往的带有恶意的宏文档来执行后续代码,由于模板注入免杀效果较好,VT上仅有为数不多的杀软报毒。

样本分析

执行流程如下:

诱饵文档

此次捕获的样本,相关信息如下

文件名

MD5

模板注入地址

修改时间

Условия создание фрагмента.docx

89d6bbbaa54253f56af8769ed6c1e9ec

http://logins.kl.com.ua/sectigoprotect.cer

2020-05-01 22:32:14

Условия.docx

e6183f5be1d907fb9a53e08b5c28a9ae

http://logins.kl.com.ua/digital.cer

2020-04-28 21:25:24

样本均采用模板注入技术执行后续payload,此方式能起到极好的免杀效果,通过奇安信新一代反病毒引擎可精确检测除模板注入地址

打开文档后,word会向远程服务器下载恶意的RTF文档并运行

文档内容如下

RTF文档信息

文件名

MD5

Digital.cer

63f4f59656bba5cb700f7f252028be7f

SectigoProtect.cer

fd1077af257671250e666d07e99565a1

使用11882漏洞,调用CMD向远程服务器发起请求,下载并执行2.msi程序

恶意Msi

文件名

MD5

2.msi

0fe3f5fbf08c53ee45d8094632dbdb59

Msi的主要功能为Droper释放各个模块,

其中的二进制文件为SFX自解压文件

在C盘dllbroker目录下释放如下文件

会先调用WScript.exe执行System.vbe

文件名

MD5

System.vbe

787ebad76b4f40b4fb19451d17a941cd

内容如下

在dllbroker目录下生成System.lnk快捷方式指向自身,调用CMD执行Zjv0obArqjtjrdV0Haf0JAmZCyY2Sl.bat

文件名

MD5

Zjv0obArqjtjrdV0Haf0JAmZCyY2Sl.bat

0d3b300ab76a2b9fe092b8e670158216

Bat脚本内容如下:

将本目录下的System.lnk拷贝到启动目录下实现持久化,并运行brokernet.exe程序

文件名

MD5

brokernet.exe

7df85f5215c5a11c4e2ad007bd5b1571

.net程序加了.NETReactor的壳

主要功能为后门程序,

读取同目录下的vmcheck32.dll文件,解密C2,并发起请求,vmcheck32.dll内容如下

Base64解密后如下

连接远程服务器

收集本机相关信息如IP地址、硬件信息等,

从远程服务器如下文件

调用CSC.exe在固定目录下生成可执行文件

meqbjtdp.cmdline内容如下

文件名

MD5

dwm.exe

fe4e7581f9e3093a5ef528f75e05e1b5

msdtc.exe

37192f9f3d4c05ab38a0eafb297d6e35

svchost.exe

ad918fdcece862134a84a21d8abcc63f

可能生成的目录如下

目录名

C:\Program Files (x86)\Windows Media Player\Skins\

C:\System Volume Information\

C:\Documents and Settings\

C:\Boot\zh-CN\

C:\ProgramData\Favorites\

C:\Windows\tracing\

C:\PerfLogs\Admin\

生成的可执行文件主要功能为启动器,用于启动brokernet.exe

由于在分析过程中网络连接不稳定导致后续的行为丢失,不管怎么样,这是一个成熟度非常很高的后门,我们将其命名为“BrokerGama”。

关联分析

通过奇安信ALPHA威胁分析平台等内部数据和公开威胁情报信息,我们发现在logins.kl.com.ua域名上还有一个名为4.msi的可执行文件

文件名

MD5

4.msi

b5622716e68468ff38d32ef5f4795a87

里面同样是SFX自解压文件,但是释放的payload却大不相同,在%appdata%目录下释放service文件

文件名

MD5

service.exe

3973d7da737d0cc7b6b8536f36f0c98a

有趣的是,该Spy类的软件由VC编写。主要功能为窃取相关信息

截屏保存为screen.jpeg

遍历Discord\\Local Storage和Authy Desktop\\Local Storage目录下的文件

判断Telegram是否安装,拷贝tdata目录下的数据

收集FileZilla相关信息

寻找TotalCommander 文件管理器配置文件

收集pidgin即时通讯软件相关配置文件

收集虚拟货币钱包

相关路径

Ethereum\\keystore

Electrum\\wallets

Electrum-NMC\\wallets

com.liberty.jaxx\\indexedDB

Exodus\\exodus.wallet

Fetch\\Local Storage

Eidoo\\Electron storage

MyCrypto\\Local Storage

Bitcoin\\wallets

Coinomi\\wallet

Guarda\\Local Storage

Peercoin\\wallets

Monero\\wallets

.bitpay\\app\\Local Storage

收集steam相关文件

获取本机相关信息

获取NordVPN.exe和ProtonVPN.exe相关文件,以及获取浏览器存储的账号密码

获取浏览器的相关记录

之后将上述数据打包成zip文件发送给远程服务器

IP地址:193.109.84.21,

打包后的内容如下

基于样本中出现的字符串,我们将此类样本命名为“grbrSpy”。

通过对Gamaredon APT组织最近两个月的样本进行归类,我们猜测该行动应该是在二月份谋划,三月份实施攻击一直持续到现在。

文件名

MD5

BILATERAL COOPERATION PLAN.DOCX

b8bee6cba4ec62b05bacbd5b6e79cf94

BILATERAL COOPERATION PLAN.DOCX

b99dceea34d883db0ba4db7d626b11c2

OSCE.docx

7ef3d61b6e56de27c689c668b4688414

2ce959b961c81e34f4d4ccb4a23fab5b.zip

2ce959b961c81e34f4d4ccb4a23fab5b

OSCE.docx

6928b6c0da32bfd34a837dafd42b3abe

OSCE.docx

4da1af09833868e013e02add23e59957

Project TIKA in Ukraine.docx

7cdf57c02f50e6477452678d3023cdb8

Запит на iнформацiю.docx

2147f94942593ef3473ea00c83c2267d

OSCE.docx

b54ad8e721a2c8175daa357dc9252103

ВiтанняСБУ.docx

c047dd99d3658e5df1d0f14f0beb7917

Вiтання СБУ.docx

b6e30ea779ab250032fb7f3c2c493778

ВiтанняСБУ.docx

971c53db7f875a1008995b0397cba489

21-540-0215.docx

7ed9035341a1906ff731236633b8d911

Запит на iнформацiю.docx

8aeba52be05a59306e54ef9baa917658

Contacts of the embassy.docx

7219192d3fce7a1b2a0b6320da6cc4a3

Embassy of Ukraine in Hungary.docx

6885d6b44be537824377b74b63534d82

21-540-0215.docx

9786a23382b5d7ed1f1f8d640cfc82b5

Посольство України в Угорщині.docx

ffa2fc9b24b87b6eead448641eb1eee8

Посольство України в Угорщині.docx

3352636bdec80c3a6876d09cb043aa9d

PROJECT.DOCX

3140e5c776400c841efbc79b85bf245a

PROJECT.DOCX

d10c70f8eef196e148fea275230de1d9

PROJECT.DOCX

9afe18faeb125c1bd70d3b506d1397aa

contact.docx

27a70ddc4e1626792b71e12b54af9666

email.docx

521bf37724aa2bef9ffd4ceb910c8a2a

20200420_TATB.docx

67735f22639a5a8bc13d811eba88fbe3

Условия.docx

e6183f5be1d907fb9a53e08b5c28a9ae

Условия рекламной интеграции.docx

d8d285b34e588a12d946828c5c097ec3

Conditions.docx

5616b794188223d5cd567fdd91ce676b

Условия создание фрагмента.docx

89d6bbbaa54253f56af8769ed6c1e9ec

部分诱饵文档内容如下:

上述所有样本创建时间均为2020-02-25 05:41:00,且文档的元数据有相似之处

Creator均为“DESKTOP-”开头,我们推测这些模板注入的样本为该团伙的ToolKit生成,在该团伙早期的样本中同样存在该现象

同时当我们对上述brokernet.exe,也就是“brokerGama”家族的样本进行关联时发现了大量的相似样本,集中出现在4月份初,伪装成各式各样的软件

通过VT_RedDrip的沙箱可以看到这类样本的行为和上述分析一致

有些样本在dclib目录下带有反虚拟机模块

总结

2020年以来,疫情肆虐全球,同时网络空间的攻击活动也越发频繁,近期,东欧形势备受关注,而具有该国背景的APT组织近期也活动频繁。

奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

IOC

MD5

89d6bbbaa54253f56af8769ed6c1e9ec

e6183f5be1d907fb9a53e08b5c28a9ae

0fe3f5fbf08c53ee45d8094632dbdb59

787ebad76b4f40b4fb19451d17a941cd

0d3b300ab76a2b9fe092b8e670158216

7df85f5215c5a11c4e2ad007bd5b1571

fe4e7581f9e3093a5ef528f75e05e1b5

37192f9f3d4c05ab38a0eafb297d6e35

ad918fdcece862134a84a21d8abcc63f

b5622716e68468ff38d32ef5f4795a87

3973d7da737d0cc7b6b8536f36f0c98a

C2

logins.kl.com.ua

netskacm.mcdir.ru

193.109.84.21:80

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。