概述
Gamaredon APT组织是疑似具有东欧背景的APT团伙,该组织攻击活动最早可追溯到2013年,其主要针对乌克兰政府机构官员,反对党成员和新闻工作者,以窃取情报为目的。 根据奇安信红雨滴团队观测从2019年末至今,Gamaredon组织保持高强度的活跃状态,且每次活动都与乌克兰地区的政治以及安全动态有关。2020年1月25日乌克兰安全局宣布在2019年共阻止了482次针对关键基础设施的网络攻击。 在五一假期前后,奇安信红雨滴团队发现Gamaredon组织开始了新活动,在此次活动中,该组织依然使用模板注入的方式从远程服务器下载payload,与以往不同的是本次活动下载的payload为带有cve-2017-11882漏洞的rtf文档,而非以往的带有恶意的宏文档来执行后续代码,由于模板注入免杀效果较好,VT上仅有为数不多的杀软报毒。
样本分析
执行流程如下:
诱饵文档
此次捕获的样本,相关信息如下:文件名 | MD5 | 模板注入地址 | 修改时间 |
Условия создание фрагмента.docx | 89d6bbbaa54253f56af8769ed6c1e9ec | http://logins.kl.com.ua/sectigoprotect.cer | 2020-05-01 22:32:14 |
Условия.docx | e6183f5be1d907fb9a53e08b5c28a9ae | http://logins.kl.com.ua/digital.cer | 2020-04-28 21:25:24 |




RTF文档信息
文件名 | MD5 |
Digital.cer | 63f4f59656bba5cb700f7f252028be7f |
SectigoProtect.cer | fd1077af257671250e666d07e99565a1 |


恶意Msi
文件名 | MD5 |
2.msi | 0fe3f5fbf08c53ee45d8094632dbdb59 |



文件名 | MD5 |
System.vbe | 787ebad76b4f40b4fb19451d17a941cd |

文件名 | MD5 |
Zjv0obArqjtjrdV0Haf0JAmZCyY2Sl.bat | 0d3b300ab76a2b9fe092b8e670158216 |

文件名 | MD5 |
brokernet.exe | 7df85f5215c5a11c4e2ad007bd5b1571 |








文件名 | MD5 |
dwm.exe | fe4e7581f9e3093a5ef528f75e05e1b5 |
msdtc.exe | 37192f9f3d4c05ab38a0eafb297d6e35 |
svchost.exe | ad918fdcece862134a84a21d8abcc63f |
目录名 |
C:\Program Files (x86)\Windows Media Player\Skins\ |
C:\System Volume Information\ |
C:\Documents and Settings\ |
C:\Boot\zh-CN\ |
C:\ProgramData\Favorites\ |
C:\Windows\tracing\ |
C:\PerfLogs\Admin\ |

关联分析
通过奇安信ALPHA威胁分析平台等内部数据和公开威胁情报信息,我们发现在logins.kl.com.ua域名上还有一个名为4.msi的可执行文件。
文件名 | MD5 |
4.msi | b5622716e68468ff38d32ef5f4795a87 |

文件名 | MD5 |
service.exe | 3973d7da737d0cc7b6b8536f36f0c98a |







相关路径 |
Ethereum\keystore |
Electrum\wallets |
Electrum-NMC\wallets |
com.liberty.jaxx\indexedDB |
Exodus\exodus.wallet |
Fetch\Local Storage |
Eidoo\Electron storage |
MyCrypto\Local Storage |
Bitcoin\wallets |
Coinomi\wallet |
Guarda\Local Storage |
Peercoin\wallets |
Monero\wallets |
.bitpay\app\Local Storage |







文件名 | MD5 |
BILATERAL COOPERATION PLAN.DOCX | b8bee6cba4ec62b05bacbd5b6e79cf94 |
BILATERAL COOPERATION PLAN.DOCX | b99dceea34d883db0ba4db7d626b11c2 |
OSCE.docx | 7ef3d61b6e56de27c689c668b4688414 |
2ce959b961c81e34f4d4ccb4a23fab5b.zip | 2ce959b961c81e34f4d4ccb4a23fab5b |
OSCE.docx | 6928b6c0da32bfd34a837dafd42b3abe |
OSCE.docx | 4da1af09833868e013e02add23e59957 |
Project TIKA in Ukraine.docx | 7cdf57c02f50e6477452678d3023cdb8 |
Запит на iнформацiю.docx | 2147f94942593ef3473ea00c83c2267d |
OSCE.docx | b54ad8e721a2c8175daa357dc9252103 |
Вiтання СБУ.docx | c047dd99d3658e5df1d0f14f0beb7917 |
Вiтання СБУ.docx | b6e30ea779ab250032fb7f3c2c493778 |
Вiтання СБУ.docx | 971c53db7f875a1008995b0397cba489 |
21-540-0215.docx | 7ed9035341a1906ff731236633b8d911 |
Запит на iнформацiю.docx | 8aeba52be05a59306e54ef9baa917658 |
Contacts of the embassy.docx | 7219192d3fce7a1b2a0b6320da6cc4a3 |
Embassy of Ukraine in Hungary.docx | 6885d6b44be537824377b74b63534d82 |
21-540-0215.docx | 9786a23382b5d7ed1f1f8d640cfc82b5 |
Посольство України в Угорщині.docx | ffa2fc9b24b87b6eead448641eb1eee8 |
Посольство України в Угорщині.docx | 3352636bdec80c3a6876d09cb043aa9d |
PROJECT.DOCX | 3140e5c776400c841efbc79b85bf245a |
PROJECT.DOCX | d10c70f8eef196e148fea275230de1d9 |
PROJECT.DOCX | 9afe18faeb125c1bd70d3b506d1397aa |
contact.docx | 27a70ddc4e1626792b71e12b54af9666 |
email.docx | 521bf37724aa2bef9ffd4ceb910c8a2a |
20200420_TATB.docx | 67735f22639a5a8bc13d811eba88fbe3 |
Условия.docx | e6183f5be1d907fb9a53e08b5c28a9ae |
Условия рекламной интеграции.docx | d8d285b34e588a12d946828c5c097ec3 |
Conditions.docx | 5616b794188223d5cd567fdd91ce676b |
Условия создание фрагмента.docx | 89d6bbbaa54253f56af8769ed6c1e9ec |







总结
2020年以来,疫情肆虐全球,同时网络空间的攻击活动也越发频繁,近期,东欧形势备受关注,而具有该国背景的APT组织近期也活动频繁。未经允许不得转载:x-sec » 东欧杀手:Gamaredon APT组织定向攻击乌克兰事件分析