Gamaredon-APT组织针对乌克兰国防部的攻击活动

前言:

记一次简单恶意样本分析报告,感谢空白师傅的指导

介绍:

Gamaredon是一个俄罗斯的APT攻击组织,首次出现于2013年,主要是针对乌克兰进行网络间谍活动。2017年,Palo Alto披露过该组织针对乌克兰攻击活动的细节,并首次将该组织命名为Gamaredon group。
该组织主要利用受感染域名、动态DNS、俄罗斯和乌克兰国家代码顶级域名(ccTLD)以及俄罗斯托管服务提供商来分发其定制的恶意软件。
之前Gamaredon团队会使用大量使用现成的工具,经过发展,也开始定制开发相关的恶意软件,其自定义开发的恶意软件包括以下功能:

  1. 用于下载和执行其选择的附加有效负载的机制
  2. 能够扫描特定文件类型的系统驱动器
  3. 捕获屏幕截图的能力
  4. 能够在用户的安全上下文中远程执行系统上的命令
  5. SFX文件攻击

样本分析

样本信息

样本名称 文件大小 样本hash
Запит_ГУР.docx 124K 4778869cf2564b14b6bbf4baf361469a

样本截图:
docx

翻译

可以发现这是该组织又一次针对乌克兰国防部的攻击活动且和上一次手里剑行动类似
来源

此样本为.docx文档类型,利用远程模板注入技术,远程加载恶意模板
远程模板URL: http://yotaset.ddns.net/yota.dot
yota.dot为恶意远程模板,其中包含恶意宏代码
settings

恶意远程模板分析:

样本名称 文件大小 样本hash
yota.dot 48.5KB 6e359f1c1d36c6a8a5f19bfb5bbafbf2

dump简单分析一下发现vb模块, dump下分析
oledump

恶意vb代码模块分析

可以看出其中有对目标的初步信息收集,同时也有修改注册表来达到破坏宏的安全性的目的
C&Curl:http://brousework.ddns.net/计算机名_hex硬盘序列号/rebootor.php
紧接着释放vbs加载器到:C:\Users\%Username%\AppData\Microsoft\Windows\Start Menu\Programs\Startup\security.vbs
vbs1

第一部分
释放加载器-(1)

第二部分
释放加载器-(2)

第三部分
释放加载器-(3)

第四部分
释放加载器-(4)

第五部分
释放加载器-(5)

加载器代码分析

这个是和c2通信的函数,还原后便于分析
Community

都为Encode函数,实现加密文件解密生成后执行文件后的删除
Encode1

Encode2

这里为Key的计算函数,通过硬盘序列号的16进制来计算生成Key
GetKey

上面是Encode函数,用于加解迷文件,由次可以看出, 在C:\Users\%Username%\AppData该目录下的RandStrinh.txt是从c2获取到的加密文件,通过Encode,传入GetKey计算出来的密钥Key解密后删除,同时在C:\Users\%Username%\AppData\Microsoft\Windows\Start Menu\Programs\Startup目录下生成RandStrinh.exe,达到开机自启的目的

实现重启来执行RandStrinh.exe
Reboot

由于没有RandStrinh.txt,我们无法进一步分析RandStrinh.exe,此次分析就到这里

IOCS

样本名称 文件大小 样本hash
Запит_ГУР.docx 124K 4778869cf2564b14b6bbf4baf361469a
yota.dot 48.5KB 6e359f1c1d36c6a8a5f19bfb5bbafbf2
0%