信息來(lái)源：4hou

近日，威脅情報(bào)公司Anomali發(fā)報(bào)告稱：自今年10月中以來(lái)，俄羅斯APT組織Gamaredon使用武器化文件，對(duì)烏克蘭發(fā)動(dòng)針對(duì)性網(wǎng)絡(luò)攻擊。而攻擊目標(biāo)則是烏克蘭的各外交官、政府和軍事官員以及執(zhí)法部門人員。值得注意的是，有專家推測(cè)：此舉將預(yù)示著APT黑客團(tuán)體將對(duì)實(shí)體構(gòu)成巨大威脅與挑戰(zhàn)。因?yàn)槿蚋鲊?guó)政府都在利用戰(zhàn)役達(dá)到戰(zhàn)略目的，而就俄羅斯而言，它的網(wǎng)絡(luò)行動(dòng)有時(shí)是為了配合武裝部隊(duì)的活動(dòng)。

俄APT組織Gamaredon再爆活躍，攻擊目標(biāo)瞄準(zhǔn)烏克蘭政府軍事官員

近日，威脅情報(bào)公司Anomali發(fā)布一則報(bào)告，稱其發(fā)現(xiàn)一個(gè)新的惡意活動(dòng)。該活動(dòng)至少始于今年10月，攻擊目標(biāo)不受限制，但其最終目標(biāo)為烏克蘭政府和軍事官員。研究人員將惡意活動(dòng)歸因于APT組織Gamaredon的活動(dòng)。

其實(shí)，在今年6月， Cybaze-Yoroi ZLab研究人員也曾發(fā)現(xiàn)一項(xiàng)可能與Gamaredon有關(guān)的活動(dòng)。而Anomali的報(bào)告則再次證實(shí)，APT組織Gamaredon的攻擊一直在進(jìn)行，從未停歇。

此外，今年夏天，烏克蘭計(jì)算機(jī)緊急響應(yīng)小組CERT-UA的報(bào)告，也將針對(duì)烏克蘭軍事和執(zhí)法部門的幾次攻擊，歸因于Gamaredon 。

這里，我們需要對(duì)此次發(fā)動(dòng)攻擊的主角——Gamaredon進(jìn)行一個(gè)簡(jiǎn)單的介紹。

Gamaredon，是一個(gè)被公認(rèn)為是由俄羅斯贊助的國(guó)家級(jí)黑客組織。該組織首次出現(xiàn)于2013年，主要針對(duì)烏克蘭發(fā)動(dòng)網(wǎng)絡(luò)間諜活動(dòng)。2017年，Palo Alto披露了該組織針對(duì)烏克蘭攻擊活動(dòng)的細(xì)節(jié)，并首次將該組織命名為Gamaredon group。

值得注意的是，該組織主要利用受感染域名、動(dòng)態(tài)DNS、俄羅斯和烏克蘭國(guó)家代碼頂級(jí)域名（ccTLD）以及俄羅斯托管服務(wù)提供商來(lái)分發(fā)其定制的惡意軟件。

Gamaredon組織攻擊活動(dòng)較為謹(jǐn)慎，發(fā)現(xiàn)關(guān)鍵性目標(biāo)時(shí)才發(fā)送有效負(fù)載

進(jìn)一步分析中，研究人員發(fā)現(xiàn)在本次攻擊活動(dòng)中，攻擊者預(yù)定的目標(biāo)以及使用的戰(zhàn)術(shù)、技術(shù)和程序（TTP）與Gamaredon先前活動(dòng)非常吻合。

所以，同樣的在此次攻擊中，攻擊者使用了動(dòng)態(tài)域名服務(wù)器作為C2服務(wù)器。同時(shí)，將VBA宏和VBA腳本作為此攻擊的一部分。此外，攻擊者還在目標(biāo)情報(bào)收集期間，使用了武器化的DOCX文件。而且，武器化的文件為本次攻擊的初始感染媒介，并通過魚叉式電子郵件分發(fā)。

這里，研究人員檢索了三份誘餌文件對(duì)惡意軟件的感染過程進(jìn)行進(jìn)一步說(shuō)明。一份針對(duì)Dnipro控制系統(tǒng)并討論與軍事有關(guān)的事項(xiàng)，另一份由非政府組織媒體監(jiān)督機(jī)構(gòu)Detector Media制作，第三份針對(duì)烏克蘭外交部。

首先，這些惡意文檔顯示在網(wǎng)絡(luò)釣魚電子郵件中。攻擊者使用模板注入技術(shù)代替嵌入惡意VBA宏的文檔。只要誘餌文件被打開，將自動(dòng)從遠(yuǎn)程位置下載文檔模板（.dot）。

此時(shí)，下載的模板文件是包含VBA宏的，這些宏會(huì)在后臺(tái)自動(dòng)執(zhí)行。

與此同時(shí)，VBA宏將VBScript文件寫入啟動(dòng)文件夾，以便在機(jī)器重新啟動(dòng)時(shí)，它能嘗試更改注冊(cè)表，進(jìn)而在將來(lái)禁用宏安全警告；或者是在重新啟動(dòng)時(shí)，VBScript能夠執(zhí)行HTTP GET的請(qǐng)求，以便從動(dòng)態(tài)DNS域中獲取加密階段。

值得注意的是，僅當(dāng)目標(biāo)為關(guān)鍵性目標(biāo)時(shí)，才會(huì)發(fā)送有效負(fù)載。 從中可見，Gamaredon組織攻擊活動(dòng)較為謹(jǐn)慎、小心的。Anomali的報(bào)告中寫道：

“只有在攻擊者確定當(dāng)前受感染的目標(biāo)值得第二階段有效載荷時(shí)，才會(huì)發(fā)送文件，否則，文件刪除將繼續(xù)在其循環(huán)中刪除，以刪除攻擊者活動(dòng)的證據(jù)?！?

然而，針對(duì)此次報(bào)道的研究，下面這句話更值得研究：

當(dāng)全球各國(guó)政府都在利用戰(zhàn)役達(dá)到戰(zhàn)略目的時(shí)，這起有著俄羅斯國(guó)家背景的APT組織Gamaredon的行為，將對(duì)實(shí)體構(gòu)成巨大的威脅與挑戰(zhàn)。畢竟就俄羅斯而言，它的網(wǎng)絡(luò)行動(dòng)有時(shí)是為了配合武裝部隊(duì)的活動(dòng)。

誠(chéng)然，網(wǎng)絡(luò)戰(zhàn)與實(shí)戰(zhàn)早已走向融合之勢(shì)，今日的網(wǎng)絡(luò)攻擊行為或許就是在醞釀著一場(chǎng)大的實(shí)體“陰謀”，也未可知。

外文參考鏈接：

《俄羅斯“加馬利登”黑客再次瞄準(zhǔn)烏克蘭官員》https://www.securityweek.com/russian-gamaredon-hackers-back-targeting-ukraine-officials

《東歐的俄羅斯陰影：烏克蘭國(guó)防部戰(zhàn)役》https://blog.yoroi.company/research/the-russian-shadow-in-eastern-europe-ukrainian-mod-campaign/