一.介绍

Gamaredon是一个俄罗斯的APT攻击组织，首次出现于2013年,主要是针对乌克兰进行网络间谍活动。2017年，Palo Alto披露过该组织针对乌克兰攻击活动的细节，并首次将该组织命名为Gamaredon group。

该组织主要利用受感染域名、动态DNS、俄罗斯和乌克兰国家代码顶级域名（ccTLD）以及俄罗斯托管服务提供商来分发其定制的恶意软件。

之前Gamaredon团队会使用大量使用现成的工具，经过发展，也开始定制开发相关的恶意软件，其自定义开发的恶意软件包括以下功能：

1、用于下载和执行其选择的附加有效负载的机制

2、能够扫描特定文件类型的系统驱动器

3、捕获屏幕截图的能力

4、能够在用户的安全上下文中远程执行系统上的命令

5、SFX文件攻击

二.样本分析

(一).样本信息

样本截图如下:

利用远程模板注入技术,加载远程模板http://inbox-office[.]ddns[.]net/inbox[.]dot

(二)inbox.dot

里面包含着主要的宏代码

当用户点击启动内容的时候,远程模板的宏就会启动,这样既可以降低docx外壳的检测几率又可以增加非专业人士的警惕,使活动可以正常实施

恶意宏代码:

1.信息收集

将收集好的信息发送上线包于http[:]//provansales[.]ddns[.]net/{计算机名称}_{Hex编码后的硬盘序列号}//autoindex.php

2.修改注册表达到破坏宏安全性的目的

3.释放VBS加载器于C:\Users\%Username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\templates.vbs

同时vbs脚本中填写了两个变量

Sdfgcas –> C:\Users\%Username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RandStrinh.exe
Sdfaxfasdf à
C:\Users\%Username%\AppData\Local\Temp\RandStrinh.txt

(三)VBS Loader

1).发送报文并接受回显

2).根据秘钥解密被加密的文件,将解密好的数据写入新的文件路径,删除原先被加密好的文件

3).获取秘钥

4).访问地址http[:]//provansales[.]ddns[.]net/{当前计算机名}_{Hex编码后的硬盘序列号}//autoindex.php,将回显数据另存为: C:\Users\%Username%\AppData\Local\Temp\{随机字符}.txt

获取密钥,传入的参数就是hex编码后本机的硬盘序列号

调用解密函数,将随机字符的txt文件解密后写入

C:\Users\%Username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{随机字符}.exe

以进行下一步载荷的运行

5).生成随机字符

6).清理无用文件,调用wmi重启计算机以执行下一步载荷

由于方式目标的原因我们并没有get到下一步的载荷 ,所以样本的分析到此为止

三.样本关联

除了上一个样本之外我们还关联到了两个样本

这里只做介绍,不做详细分析,因为多数与前文所分析的相同

(一)

样本截图:

貌似与乌克兰的信息安全部有关系

利用远程模板注入技术,加载模板: http[:]//office-crash[.]ddns[.]net/crash[.]dot

除了C2以外其余的大致相同

C2: http://get-icons[.]ddns[.]net/{当前计算机名称 _{hex编码后的硬盘序列号}//autoindex.php

(二)

样本截图:

利用远程模板注入技术,加载模板: http[:]//micro-set[.]ddns[.]net/micro.dot

除了C2以外其余的大致相同

C2: http://micro-office[.]ddns[.]net/{当前计算机名称 _{hex编码后的硬盘序列号}//autoindex.php

四.总结

该组织擅长利用远程模板注入技术配合宏代码释放vbs加载器于自启动文件夹,再 通过VBS加载器与C2进行通讯以获取下一步的载荷,再将下一步载荷写入自启动文件夹.因此该组织有充分的分级载荷加载能力,包括从其所使用的解密载荷来看,该组织应该存在与之相配套的程序以完成这一工作

另外从注入的远程模板中,我们发现了统一的作者信息:ШУРИК

这可以作为一个为这次活动筛选样本的参照

同时,我们将这次活动命名为手里剑(ШУРИК)