安全動態(tài)

瞄準烏克蘭政府和軍事網(wǎng)絡(luò),俄羅斯APT黑客團體再發(fā)新攻擊

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-12-10    瀏覽次數(shù):
 

信息來源:4hou

近日,威脅情報公司Anomali發(fā)報告稱:自今年10月中以來,俄羅斯APT組織Gamaredon使用武器化文件,對烏克蘭發(fā)動針對性網(wǎng)絡(luò)攻擊。而攻擊目標則是烏克蘭的各外交官、政府和軍事官員以及執(zhí)法部門人員。值得注意的是,有專家推測:此舉將預(yù)示著APT黑客團體將對實體構(gòu)成巨大威脅與挑戰(zhàn)。因為全球各國政府都在利用戰(zhàn)役達到戰(zhàn)略目的,而就俄羅斯而言,它的網(wǎng)絡(luò)行動有時是為了配合武裝部隊的活動。

俄APT組織Gamaredon再爆活躍,攻擊目標瞄準烏克蘭政府軍事官員

近日,威脅情報公司Anomali發(fā)布一則報告,稱其發(fā)現(xiàn)一個新的惡意活動。該活動至少始于今年10月,攻擊目標不受限制,但其最終目標為烏克蘭政府和軍事官員。研究人員將惡意活動歸因于APT組織Gamaredon的活動。

其實,在今年6月, Cybaze-Yoroi ZLab研究人員也曾發(fā)現(xiàn)一項可能與Gamaredon有關(guān)的活動。而Anomali的報告則再次證實,APT組織Gamaredon的攻擊一直在進行,從未停歇。

此外,今年夏天,烏克蘭計算機緊急響應(yīng)小組CERT-UA的報告,也將針對烏克蘭軍事和執(zhí)法部門的幾次攻擊,歸因于Gamaredon 。

這里,我們需要對此次發(fā)動攻擊的主角——Gamaredon進行一個簡單的介紹。

Gamaredon,是一個被公認為是由俄羅斯贊助的國家級黑客組織。該組織首次出現(xiàn)于2013年,主要針對烏克蘭發(fā)動網(wǎng)絡(luò)間諜活動。2017年,Palo Alto披露了該組織針對烏克蘭攻擊活動的細節(jié),并首次將該組織命名為Gamaredon group。

值得注意的是,該組織主要利用受感染域名、動態(tài)DNS、俄羅斯和烏克蘭國家代碼頂級域名(ccTLD)以及俄羅斯托管服務(wù)提供商來分發(fā)其定制的惡意軟件。

Gamaredon組織攻擊活動較為謹慎,發(fā)現(xiàn)關(guān)鍵性目標時才發(fā)送有效負載

進一步分析中,研究人員發(fā)現(xiàn)在本次攻擊活動中,攻擊者預(yù)定的目標以及使用的戰(zhàn)術(shù)、技術(shù)和程序(TTP)與Gamaredon先前活動非常吻合。

所以,同樣的在此次攻擊中,攻擊者使用了動態(tài)域名服務(wù)器作為C2服務(wù)器。同時,將VBA宏和VBA腳本作為此攻擊的一部分。此外,攻擊者還在目標情報收集期間,使用了武器化的DOCX文件。而且,武器化的文件為本次攻擊的初始感染媒介,并通過魚叉式電子郵件分發(fā)。

這里,研究人員檢索了三份誘餌文件對惡意軟件的感染過程進行進一步說明。一份針對Dnipro控制系統(tǒng)并討論與軍事有關(guān)的事項,另一份由非政府組織媒體監(jiān)督機構(gòu)Detector Media制作,第三份針對烏克蘭外交部。

首先,這些惡意文檔顯示在網(wǎng)絡(luò)釣魚電子郵件中。攻擊者使用模板注入技術(shù)代替嵌入惡意VBA宏的文檔。只要誘餌文件被打開,將自動從遠程位置下載文檔模板(.dot)。

此時,下載的模板文件是包含VBA宏的,這些宏會在后臺自動執(zhí)行。

與此同時,VBA宏將VBScript文件寫入啟動文件夾,以便在機器重新啟動時,它能嘗試更改注冊表,進而在將來禁用宏安全警告;或者是在重新啟動時,VBScript能夠執(zhí)行HTTP GET的請求,以便從動態(tài)DNS域中獲取加密階段。

值得注意的是,僅當目標為關(guān)鍵性目標時,才會發(fā)送有效負載。 從中可見,Gamaredon組織攻擊活動較為謹慎、小心的。Anomali的報告中寫道:

“只有在攻擊者確定當前受感染的目標值得第二階段有效載荷時,才會發(fā)送文件,否則,文件刪除將繼續(xù)在其循環(huán)中刪除,以刪除攻擊者活動的證據(jù)?!?

然而,針對此次報道的研究,下面這句話更值得研究:

當全球各國政府都在利用戰(zhàn)役達到戰(zhàn)略目的時,這起有著俄羅斯國家背景的APT組織Gamaredon的行為,將對實體構(gòu)成巨大的威脅與挑戰(zhàn)。畢竟就俄羅斯而言,它的網(wǎng)絡(luò)行動有時是為了配合武裝部隊的活動。

誠然,網(wǎng)絡(luò)戰(zhàn)與實戰(zhàn)早已走向融合之勢,今日的網(wǎng)絡(luò)攻擊行為或許就是在醞釀著一場大的實體“陰謀”,也未可知。

外文參考鏈接:

《俄羅斯“加馬利登”黑客再次瞄準烏克蘭官員》https://www.securityweek.com/russian-gamaredon-hackers-back-targeting-ukraine-officials

《東歐的俄羅斯陰影:烏克蘭國防部戰(zhàn)役》https://blog.yoroi.company/research/the-russian-shadow-in-eastern-europe-ukrainian-mod-campaign/


 
 

上一篇:中小型企業(yè)5種網(wǎng)絡(luò)攻擊預(yù)防方法

下一篇:2019年12月10日 聚銘安全速遞