Gamaredon-携新版后门持续攻击乌克兰军政人员

概述

Gamaredon APT组织是具有俄罗斯背景的APT组织，其网络攻击活动主要针对乌克兰政府机构官员，反对党成员和新闻工作者等人员。近年来，俄罗斯与乌克兰之间的冲突对抗不断，随着乌克兰高调呼吁欧盟对俄罗斯实施新的经济制裁，两国关系逐渐降至冰点。

近期，360高级威胁研究院在持续跟踪Gamaredon组织的相关活动时，发现该组织加强了针对乌克兰军方人员的网络攻击，并成功捕获到了该组织一批新启用的后门程序。本文将结合过往的文章报告分享一些新的发现。

01

从诱饵文档开始

自2021年1月以来，我们收集到了大量来自Gamaredon组织的诱饵文档，其内容通常结合实时和热点问题，涵盖乌克兰国家政策、国际关系等各个方面。Gamaredon将这些诱饵文档以电子邮件的形式投递到攻击目标的电子邮箱中，引诱攻击目标打开并中招。

下图为我们收集到的众多诱饵文档的一个，可以在图中左下角看到，该文档的语言为乌克兰语。

图 1诱饵文档示例

这些诱饵文档采用模板注入的方式将恶意模板链接嵌入到文档之中，当攻击目标打开文档后，word会尝试通过嵌入的链接下载恶意模板文件，并通过恶意模板文件以调用VBA宏或触发漏洞的形式执行恶意指令。

图 2 word下载恶意模板文件

图 3嵌入文档内的模板链接

此类诱饵文档也被国外的研究者广泛披露过[0]，对于诱饵文档内容与地缘政治方面的分析这里就不再赘述了。

一旦恶意模板中的指令或脚本被成功执行，Gamaredon会利用vbs脚本、批处理文本和sfx自解压文件等各种不同的payload组合来下载、执行进一步的后门程序，并通过创建计划任务或开机自启动项的方式来完成对受害者控制的可持续化。在我们去年发布的文章《罕见的联盟-末日军团和隐形地鼠首次联合开展攻击活动》中，介绍了Gamaredon组织不同的攻击载荷组合及利用手法，但从当前我们所获取的数据来看，即使该组织所使用的网络资产和脚本文件的混淆风格在不断的变化，但相较于以往来看其攻击手段和载荷功能并没有明显的差异，我们也会在未来持续的关注该组织的相关动向。

02

新版C++后门

去年我们发布的报告中披露了Gamaredon组织新启用的一批文档窃取后门，该系列后门为dll文件，通过rundll32调用导出函数的方式执行相关代码，其主要功能是窃取受害者的表格和文档类文件，并发送至c2服务器。

今年3月份，我们通过360安全大脑的遥测数据，捕获到了exe版本的文档窃取后门。我们首先捕获到的是一个测试版的程序，优化级别较低，且含有大量详细的日志信息。

图 4 main函数部分代码

从日志信息中可以看到，用于窃取文档的线程函数内部名称为: HardDriveInspector。

与之前dll版本的后门相比，exe版本的主要功能依旧会通过注册窗体回调函数来监控USB设备，并窃取文档表格等文件。但exe版本功能划分更为细致，不同功能分成了不同的线程来执行，而且增加了屏幕截图的功能。

图 5 屏幕截图函数

在exe后门启动之后，会首先杀死之前的老进程，并清空工作目录，添加自身路径到注册表的SoftwareMicrosoftWindowsCurrentVersionRunOnce下，以实现下次开机自启。这一系列的初始化行为在程序中的内部名称为SetSchedulerTask。

图 6 杀死旧进程并清空工作目录

图 7 添加开机启动项

exe版本后门的字符串解密算法与之前dll版本相同，被加密的所有字符串数据都存储在一起，解密时通过传递下标的方式获取被加密的数据，但在测试版后门中，被加密的数据是通过动态的方式装载进内存的，而到了正式版后门中，这一设定又被取消了，数据直接通过硬编码的形式存放在全局变量中。

图 8动态存放内存数据

该函数的函数指针被存放在C++初始化函数的指针表处，程序会在main函数之前初始化时调用该函数完成内存数据的装填。有趣的是，不知什么原因，正式版的exe后门取消了这一设定。

图 9 c++初始化函数指针表

       从编译时间和我们获取的情报数据来看，这一测试版的exe后门大约在三月初开始投放测试，并在很短的时间内完成了测试活动，逐步开始部署正式版后门并投入使用。

       在dll后门中，样本首先会手动加载各个dll并通过导出函数函数名称字符串的哈希值来获取函数地址，在测试版exe后门中也延续了这一设定。而到了正式版的exe后门中，这一设定被取消了，函数地址可以在导入表中直接看到。

图 10 测试版后门手动获取函数地址

图 11 正式版后门导入表

03

Gamaredon的网络资产

       一直以来，Gamaredon掌握着数量非常丰富的网络资产，我们几乎可以在每一批新的攻击活动中发现Gamaredon新启用的ip和域名。有趣的是，绝大多数ip指向的地址都在俄罗斯，Gamaredon似乎没有任何隐藏自己俄罗斯背景的意图。

在众多被Gamaredon掌握的ip地址中，有一些ip所指向的计算机并非Gamaredon的固有资产，而是失陷的主机或傀儡机，还有一些ip就只是动态的地址而已。这些主机往往时效性不强，过一段时间就会更换，因此，在众多Gamaredon的脚本和后门采用先解析域名，再将解析得到的ip地址拼接到url的方式来进行网络访问，如此一来，每当更换ip后只需要将域名重新定向到新的地址即可，且可以在一定程度上规避检查。这也是在我们所收集到的数据当中，同一批样本会在某个时间段内与不同ip主机进行通信的原因。

图 12 vbs downloader动态拼接url

图 13 C# downloader 中 动态拼接url

Gamareddon的高价值目标是谁？

    从过去对APT活动的追踪经历来看，APT攻击往往发生在现实世界重大政治、外交活动或军事冲突的前夕和过程中。长期以来，Gamaredon组织一直在东欧地区保持着较为活跃的姿态，其网络攻击活动的主要对象为乌克兰政府机构官员，反对党成员和新闻工作者等。

自今年开始，伴随着乌克兰与俄罗斯边境紧张态势的不断升级，我们通过360安全大脑的数据监测到了数十起Gamaredon组织针对乌克兰军方人员的窃密活动，该组织利用频繁更新的后门程序，通过监控USB、移动硬盘等外部设备，源源不断地从乌克兰军方人员处窃取文档和表格类文件，并上传至C2服务器。

遥测数据显示，部分受害者计算机还存在着Gamaredon组织的早期样本，这意味着该组织对部分计算机的控制可能达到数年之久，并长时间以来孜孜不倦地更新着新的攻击武器，每当后门程序被安全厂商披露，Gamaredon就会对攻击组件进行修改和升级以保持对目标计算机的控制。

我们相信，包括此次C++后门的升级也只是Gamaredon对自己攻击武器的一次例行升级而已。与其他APT组织高隐蔽性不同的是，Gamaredon组织并不在乎自己的行为和相关攻击武器被披露，因此无论是利用的脚本、后门程序还是网络资产，更新频率都很高，其攻击活动相较于其他APT组织也更易被发现，我们会在未来的时间里持续关注该组织的相关活动。

 附录 IOC 

诱饵文档：

MD5	模板链接
6cb12a8f64f6186f7f92ab69ad1ad6f5	http://a0322810.xsph.ru/templates/preliminary/guarantee/sequence.dot

Domain	rabilin.ru bertis.ru bercul.ru erati.ru teroba.ru myces.ru privigna.ru culosa.ru
URL	http://rabilin.ru/junior/DOCUMENT.html http://culosa.ru/spacious.php?id= http://bercul.ru/interruption.php?id=
EXE  Backdoor	6be0ae5cb7c3155f70d608fc7670d2d9 b0b9ddc5c7a33d2a1d1afe33ea7ce390 edb983980135356b6b8c4e2dab201877 b15bbbff08eea147bd130ed98ae50e62 94599222fe619c41c0fbb39fe189eab8

[0] https://www.anomali.com/blog/primitive-bear-gamaredon-targets-ukraine-with-timely-themes

团队介绍

TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

                 

---

劳

动

最

光

荣

劳动创造 · 美好生活

本文始发于微信公众号（360威胁情报中心）：Gamaredon-携新版后门持续攻击乌克兰军政人员