瞄準烏克蘭政府和軍事網路，俄羅斯APT黑客團體再發新攻擊

其實，在今年6月， Cybaze-Yoroi ZLab研究人員也曾發現一項可能與Gamaredon有關的活動。而Anomali的報告則再次證實，APT組織Gamaredon的攻擊一直在進行，從未停歇。

此外，今年夏天，烏克蘭計算機緊急響應小組CERT-UA的報告，也將針對烏克蘭軍事和執法部門的幾次攻擊，歸因於Gamaredon 。
這裡，我們需要對此次發動攻擊的主角——Gamaredon進行一個簡單的介紹。

Gamaredon，是一個被公認為是由俄羅斯贊助的國家級黑客組織。該組織首次出現於2013年，主要針對烏克蘭發動網路間諜活動。2017年，Palo Alto披露了該組織針對烏克蘭攻擊活動的細節，並首次將該組織命名為Gamaredon group。

值得注意的是，該組織主要利用受感染域名、動態DNS、俄羅斯和烏克蘭國家程式碼頂級域名（ccTLD）以及俄羅斯托管服務提供商來分發其定製的惡意軟體。

Gamaredon組織攻擊活動較為謹慎，發現關鍵性目標時才傳送有效負載

進一步分析中，研究人員發現在本次攻擊活動中，攻擊者預定的目標以及使用的戰術、技術和程式（TTP）與Gamaredon先前活動非常吻合。

所以，同樣的在此次攻擊中，攻擊者使用了動態域名伺服器作為C2伺服器。同時，將VBA巨集和VBA指令碼作為此攻擊的一部分。此外，攻擊者還在目標情報收集期間，使用了武器化的DOCX檔案。而且，武器化的檔案為本次攻擊的初始感染媒介，並通過魚叉式電子郵件分發。

這裡，研究人員檢索了三份誘餌檔案對惡意軟體的感染過程進行進一步說明。一份針對Dnipro控制系統並討論與軍事有關的事項，另一份由非政府組織媒體監督機構Detector Media製作，第三份針對烏克蘭外交部。

首先，這些惡意文件顯示在網路釣魚電子郵件中。攻擊者使用模板注入技術代替嵌入惡意VBA巨集的文件。只要誘餌檔案被開啟，將自動從遠端位置下載文件模板（.dot）。

此時，下載的模板檔案是包含VBA巨集的，這些巨集會在後臺自動執行。

與此同時，VBA巨集將VBScript檔案寫入啟動資料夾，以便在機器重新啟動時，它能嘗試更改登錄檔，進而在將來禁用巨集安全警告；或者是在重新啟動時，VBScript能夠執行HTTP GET的請求，以便從動態DNS域中獲取加密階段。

感染鏈

值得注意的是，僅當目標為關鍵性目標時，才會傳送有效負載。 從中可見，Gamaredon組織攻擊活動較為謹慎、小心的。Anomali的報告中寫道：

“只有在攻擊者確定當前受感染的目標值得第二階段有效載荷時，才會傳送檔案，否則，檔案刪除將繼續在其迴圈中刪除，以刪除攻擊者活動的證據。”

然而，針對此次報導的研究，下面這句話更值得研究：

當全球各國政府都在利用戰役達到戰略目的時，這起有著俄羅斯國家背景的APT組織Gamaredon的行為，將對實體構成巨大的威脅與挑戰。畢竟就俄羅斯而言，它的網路行動有時是為了配合武裝部隊的活動。

誠然，網路戰與實戰早已走向融合之勢，今日的網路攻擊行為或許就是在醞釀著一場大的實體“陰謀”，也未可知。

外文參考連結：

《俄羅斯“加馬利登”黑客再次瞄準烏克蘭官員》https://www.securityweek.com/russian-gamaredon-hackers-back-targeting-ukraine-officials

《東歐的俄羅斯陰影：烏克蘭國防部戰役》https://blog.yoroi.company/research/the-russian-shadow-in-eastern-europe-ukrainian-mod-campaign/

本文為國際安全智庫作品 （微信公眾號：guoji-anquanzhiku）

如需轉載，請標註文章來源於：國際安全智庫