Gamaredon是一个俄罗斯的APT攻击组织，首次出现于2013年,主要是针对乌克兰进行网络间谍活动。2017年，Palo Alto披露过该组织针对乌克兰攻击活动的细节，并首次将该组织命名为Gamaredon 组织。自从发现后，就一直活跃在攻击第一线，特别是针对乌克兰地区的攻击。最近安全公司SentinelOne，引入了新的组成部分以增强其对乌克兰政府的进攻能力。根据安全公司SentinelOne最近发现的样本，Gamaredon APT在过去几个月里又在攻击中引入了新的攻击模块，以增强其对乌克兰政府的进攻力量。简单来说：

1. Gamaredon 组织已经扩大了其业务规模，攻击了更多的受害者，并针对特定目标调整了其工具和社会工程的实现过程。

2. Gamaredon的活动是俄罗斯军方观察当代暴力冲突或全国性政治对抗中网络战潜力的试验场。

3. 通过对Hetman Petro Sahaidachnyi国家地面部队学院等机构进行有效的网络间谍活动，Gamaredon增强了网络军事攻击的各种准备工作。

4. Gamaredon说明了网络空间作为“第五战场”是如何发动攻击的。在现代战争中，第一战场：海洋；第二战场：陆地；第三战场：天空；第四战场：太空。第五战场：网络。网络时代，信息战将成为未来战场的主要形式。网络向所有能够操纵键盘的人敞开了大门，无论这个人置身世界的哪个角落，都可以发动数字化攻击，通过互联网，通过拨号盘，通过卫星，破坏或摧毁一切关键信息，而军方正是依靠这些信息来保护国防系统的。这是一种不流血的战争。

第五战场

其实，网络战争早不是什么新鲜事了，1991年，海湾战争中，美国特工在伊拉克新购买的打印机中嵌入病毒芯片，使伊拉克防空体系中的预警系统瘫痪，为美国顺利实施空袭创造了条件。

计算机和互联网等高科技的发展，为军队带来了新的战役，新技术能够更有效地收集全球情报，遥控武器飞行器，攻击敌方。试想，如果有一天，世界各国都把网络当作武器，把战场转移到互联网，地球会变成什么样子？网络被攻击，突然瘫痪，化工厂爆炸、核原料泄漏、无人战机失控，人们不敢再想有多坏的结果，仅仅这些就让地球人吃不消了，高科技战争更让人毛骨悚然。2010年11月攻击伊朗的离心机系统，导致伊朗多达两成离心机因转动失控而报废，阻延了伊朗制造首枚核弹的进程。美国主导的这一战是在第五战场打的，第五战场是指网络空间战场。这是继陆、海、空和太空战场之后，没有战火、没有硝烟、没有血腥的战场。

2014年以来乌克兰东部就长期处于军事冲突中，不过这种冲突不仅限于传统的可看得见的战斗中，还包括网络攻击战。在2015年12月23日的那起断电事件中，当时乌克兰首都基辅部分地区和乌克兰西部的 140 万名居民遭遇了一次长达数小时的大规模停电，至少三个电力区域被攻击，占据全国一半地区。而当初的攻击背景是在克里米亚公投并加入俄罗斯联邦之后，因乌克兰与俄罗斯矛盾加剧，在网络攻击发生前一个月左右，乌克兰将克里米亚地区进行了断电。对于那次攻击，乌克兰的Kyivoblenergo电力公司表示他们公司遭到BlackEnergy网络入侵，因此导致7个110KV的变电站和23个35KV的变电站出现故障，从而导致断电。本次乌克兰断电事件中，攻击者首先通过“主题为乌克兰总统对部分动员令”钓鱼邮件进行投递，在受害者点击并启用载有BlackEnergy的恶意宏文档后，BlackEnergy在获取了相关凭证后，便开始进行网络资产探测，横向移动，并最终获得了SCADA系统的控制能力。紧接着在2016年12月17日，乌克兰还发生了第二起断电事件，乌克兰国家电网运营商Ukrenergo的网络中被植入了一种被称为Industroyer或Crash Override的恶意软件，利用已经部署好的恶意软件破坏了乌克兰首都基辅附近一个传输站的所有断路器，从而导致首都大部分地区断电。

Gamaredon 组织作为俄罗斯进行网络攻击的典型组织，专门针对乌克兰军事和安全机构，目的是对乌克兰的国家安全(NatSec)恢复力和军事实力进行攻击和调查。

自2013年以来，Gamaredon的迭代能力和它的市场运作一样引人注目。在过去几个月里，该组织引入了构成其进攻能力的新组成部分。这样Gamaredon就在攻击规模、受害者的数量、工具的适应性,工具应用的持久性和准确性, 以及针对特定目标量身定制的准确性，情报收集的质量和人类情报水平（HUMINT）社会工程实施方面得到改善。

鉴于该组织在当前网络攻击中的重要地位，我们将对Gamaredon进行深入研究。

政治紧张是俄罗斯对乌克兰持续发动网络攻击的原因

2020年1月25日，乌克兰安全局(类似于美国联邦调查局)正式宣布，在2019年阻止了482起针对关键基础设施的网络攻击，并禁止278名参与“分裂主义宣传”的个人进入该国。

Gamaredon专门针对乌克兰国家安全委员会机构，这使它成为该地区正在发生的政治和军事紧张局势的正式参与者。

乌克兰武装部队和乌克兰东部民兵之间的常规大规模军事冲突大多在2015年结束。在过去五年里，情况类似于传统的后苏联时期的“冻结冲突”，在这种冲突中，对立双方既不发动全面战争，也不同意将局势降级到战区以外。由于被传统武装部队的积极进攻吓住，双方正在积极使用其他手段。在这种背景下，俄罗斯情报机构和活跃在该地区的亲俄组织自然会转向网络攻击，像Gamaredon这样的组织自然就成为了持续战斗的工具。

Gamaredon在冲突中处于有利地位，通过实施他们的攻击，Gamaredon同时实现了几个目标，这些目标是传统军事无法实现的中。

首先，通过对利沃夫和斯塔利希的Hetman Petro Sahaidachnyi国家地面部队学院等机构进行有效的网络间谍活动，Gamaredon加强了顿巴斯民兵和当地准军事组织的军事准备。如果出现双方再次在战场上发生冲突的末日场景，Gamaredon收集的有关硬件、战术方法、装备和人员的情报将成为分裂分子的优势。

其次，通过成功完成对乌克兰军队的攻击，Gamaredon可能获得有关战略计划或内部问题的关键信息，这些信息可以被纳入俄罗斯情报部队对乌克兰发动的信息战和政治运动。

最重要的是，Gamaredon活动是俄罗斯军方观察在当代暴力冲突或全国范围的政治对抗中利用网络战的潜力的试验场。几个月前，2019年11月，乌克兰NSDC安全委员会(类似于美国国家安全委员会)秘书长阿列克谢·丹尼洛夫(Aleksey Danilov)表示，乌克兰已经成为俄罗斯网络攻击的试验场。Gamaredon很可能是在俄罗斯军方、民间和情报机构的更大安全框架下运作，这些机构会仔细分析该组织的经验，以便在未来的真实冲突中运行它。

最新样本分析

根据SentinelLabs对APT Gamaredon受害者的分析，该组织影响了乌克兰分裂主义战线上的大量人群，其中最近几个月就有五千多家受到影响的独立乌克兰实体受到影响。

Gamaredon感染地图显示了乌克兰全境的攻击点，特别是集中在沿乌克兰部队的隔离线沿线。

最新的Gamaredon恶意软件植入组件打包为自解压zip-archive (. sfx)，包含一个批处理脚本、一个二进制处理器.NET组件和宏有效载荷。

在其中一个警报中，CERT-UA先前对Gamaredon Pterodo感染发出以下警报，目标是一个乌克兰州政府。

乌克兰计算机紧急响应小组CERT-UA与乌克兰外国情报局一起在乌克兰国家当局的计算机上发现了对Pterodo型恶意软件的新修改，这很可能是网络攻击的准备阶段。该病毒收集系统数据，定期将其发送到命令控制服务器，并等待进一步的命令。

他们以前的一些社会工程运动是基于对乌克兰地缘政治和军事地位的复杂了解，利用诱饵拦截与乌克兰亲俄军事行动有关的情报。

Gamaredon最近的目标揭示了更新的.NET框架是如何与集成程序“ Microsoft.Vbe.Interop”以及随后的Microsoft Office Excel和Word Macro stager互操作的。开发人员路径如下：

C:\Users\Opolos\source\repos\LoderApp\LoderApp\obj\Debug\Aversome.pdb

值得注意的是，该恶意软件背后的组织利用服务器端转发器系统来处理来自受感染受害者计算机的流量，而这些流量通常依赖于动态DNS提供程序。

较新的工具包括通过混淆的.NET应用程序使用硬编码的CLSID GUID更新的Excel和Word宏的更新执行，如以下示例所示：

Microsoft.Office.Interop.Word.Application application3 = (Microsoft.Office.Interop.Word.Application)Activator.CreateInstance(Type.GetTypeFromCLSID(new Guid(Program.BatJwAK("30:30:30:32:30:39:46:46:2d:30:30:30:30:2d:30:30:30:30:2d:43:30:30:30:2d:30:30:30:30:30:30:30:30:30:30:34:36"))));

application3.Visible = false;

恶意软件互操作组件的显着功能之一是使用属于微软时间戳服务的虚假数字证书。

允许宏执行和禁用Visual Basic for Applications（VBA）警告的宏执行安全注册表如下：

CreateObject("WScript.Shell").RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Office\" & Application.Version & _
"\Excel\Security\" & "AccessVBOM", 1, "REG_DWORD"
CreateObject("WScript.Shell").RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Office\" & Application.Version & _
"\Excel\Security\" & "VBAWarnings", 1, "REG_DWORD"

在％APPDATA％中将启动执行“ StartExePath”执行设置为“ IndexExel.exe”，而将StartUpPath设置为“ IndexOffice.vbs”。该恶意软件可执行文件设置为“ schtasks / Create / SC MINUTE / MO 12 / F / tn Word.Downdloads / tr”任务，每12分钟运行一次，而VBS宏每15分钟运行一次。

受感染的恶意软件身份是通过将系统驱动器号与计算机名相匹配来创建的。

恶意软件编写响应并使用“ Encode”和“ GetKey”函数对文本流进行编码，如下所示：

总结

Gamaredon小组最近推出了一个新的工具集，包括通过特定处理器使用宏有效载荷执行，从而利用“脚本”持久性，而对传统二进制恶意软件方法的依赖较少。该组织的主要特点仍然是其技术优势和坚持以乌克兰国家安全委员会实体为目标，主要依靠目标诱饵发动攻击。

至于网络攻击战场，Gamaredon是一个很好的例子，说明网络作为第五战争场是如何使武装分子能够在所有其他领域都被战略或政治协议卡住的情况下继续战斗。当从军事角度看，Gamaredon提供了一种高性价比的攻击活动，即在网络上的攻击不会立即导致升级和报复，最重要的是攻击成本相当低。

IOCs

研究人员在GitHub页面上上传了相关的IOCs，有MISP JSON和CSV格式。

First-Layer Domain: masseffect[.]space
Proxy-Layer IP: 141[.]8[.]195[.]60
Proxy-Layer IP:188[.]225[.]25[.]50
SHA-256: c1524a4573bc6acbe59e559c2596975c657ae6bbc0b64f943fffca663b98a95f
SHA-256: 76ea98e1861c1264b340cf3748c3ec74473b04d042cd6bfda9ce51d086cb5a1a
SHA-256: e2cb06e0a5c14b4c5f58d0e56a1dc10b6a1007cf56c77ae6cb07946c3dfe82d8
SHA-256: 39c6884526e7b7f2ed6e47b630010508bb5957385eccf248c961cbd5bcb802c6

攻击模式

Spearphishing Link - T1192
Spearphishing Attachment - T1193
Command-Line Interface - T1059
Scheduled Task - T1053
Scripting - T1064
User Execution - T1204
XSL Script Processing - T1220
Windows Management Instrumentation - T1047
Hidden Files and Directories - T1158
Local Job Scheduling - T1168
Registry Run Keys / Startup Folder - T1060
Startup Items - T1165
Shortcut Modification - T1023
New Service - T1050
Masquerading - T1036
Account Manipulation - T1098
File and Directory Discovery - T1083
Network Share Discovery - T1135
Network Service Scanning - T1046
Remote File Copy - T1105
Replication Through Removable Media - T1091
Automated Collection - T1119
Data from Local System - T1005
Data from Network Shared Drive - T1039
Data from Removable Media - T1025
Custom Command and Control Protocol - T1094
Multi-hop Proxy - T1188
Exfiltration Over Command and Control Channel - T1041
Automated Exfiltration - T1020

本文翻译自：https://labs.sentinelone.com/pro-russian-cyberspy-gamaredon-intensifies-ukrainian-security-targeting/如若转载，请注明原文地址：