信息來源：4hou

近日，威脅情報公司Anomali發(fā)報告稱：自今年10月中以來，俄羅斯APT組織Gamaredon使用武器化文件，對烏克蘭發(fā)動針對性網(wǎng)絡(luò)攻擊。而攻擊目標(biāo)則是烏克蘭的各外交官、政府和軍事官員以及執(zhí)法部門人員。值得注意的是，有專家推測：此舉將預(yù)示著APT黑客團(tuán)體將對實體構(gòu)成巨大威脅與挑戰(zhàn)。因為全球各國政府都在利用戰(zhàn)役達(dá)到戰(zhàn)略目的，而就俄羅斯而言，它的網(wǎng)絡(luò)行動有時是為了配合武裝部隊的活動。

俄APT組織Gamaredon再爆活躍，攻擊目標(biāo)瞄準(zhǔn)烏克蘭政府軍事官員

近日，威脅情報公司Anomali發(fā)布一則報告，稱其發(fā)現(xiàn)一個新的惡意活動。該活動至少始于今年10月，攻擊目標(biāo)不受限制，但其最終目標(biāo)為烏克蘭政府和軍事官員。研究人員將惡意活動歸因于APT組織Gamaredon的活動。

其實，在今年6月， Cybaze-Yoroi ZLab研究人員也曾發(fā)現(xiàn)一項可能與Gamaredon有關(guān)的活動。而Anomali的報告則再次證實，APT組織Gamaredon的攻擊一直在進(jìn)行，從未停歇。

此外，今年夏天，烏克蘭計算機(jī)緊急響應(yīng)小組CERT-UA的報告，也將針對烏克蘭軍事和執(zhí)法部門的幾次攻擊，歸因于Gamaredon 。

這里，我們需要對此次發(fā)動攻擊的主角——Gamaredon進(jìn)行一個簡單的介紹。

Gamaredon，是一個被公認(rèn)為是由俄羅斯贊助的國家級黑客組織。該組織首次出現(xiàn)于2013年，主要針對烏克蘭發(fā)動網(wǎng)絡(luò)間諜活動。2017年，Palo Alto披露了該組織針對烏克蘭攻擊活動的細(xì)節(jié)，并首次將該組織命名為Gamaredon group。

值得注意的是，該組織主要利用受感染域名、動態(tài)DNS、俄羅斯和烏克蘭國家代碼頂級域名（ccTLD）以及俄羅斯托管服務(wù)提供商來分發(fā)其定制的惡意軟件。

Gamaredon組織攻擊活動較為謹(jǐn)慎，發(fā)現(xiàn)關(guān)鍵性目標(biāo)時才發(fā)送有效負(fù)載

進(jìn)一步分析中，研究人員發(fā)現(xiàn)在本次攻擊活動中，攻擊者預(yù)定的目標(biāo)以及使用的戰(zhàn)術(shù)、技術(shù)和程序（TTP）與Gamaredon先前活動非常吻合。

所以，同樣的在此次攻擊中，攻擊者使用了動態(tài)域名服務(wù)器作為C2服務(wù)器。同時，將VBA宏和VBA腳本作為此攻擊的一部分。此外，攻擊者還在目標(biāo)情報收集期間，使用了武器化的DOCX文件。而且，武器化的文件為本次攻擊的初始感染媒介，并通過魚叉式電子郵件分發(fā)。

這里，研究人員檢索了三份誘餌文件對惡意軟件的感染過程進(jìn)行進(jìn)一步說明。一份針對Dnipro控制系統(tǒng)并討論與軍事有關(guān)的事項，另一份由非政府組織媒體監(jiān)督機(jī)構(gòu)Detector Media制作，第三份針對烏克蘭外交部。

首先，這些惡意文檔顯示在網(wǎng)絡(luò)釣魚電子郵件中。攻擊者使用模板注入技術(shù)代替嵌入惡意VBA宏的文檔。只要誘餌文件被打開，將自動從遠(yuǎn)程位置下載文檔模板（.dot）。

此時，下載的模板文件是包含VBA宏的，這些宏會在后臺自動執(zhí)行。

與此同時，VBA宏將VBScript文件寫入啟動文件夾，以便在機(jī)器重新啟動時，它能嘗試更改注冊表，進(jìn)而在將來禁用宏安全警告；或者是在重新啟動時，VBScript能夠執(zhí)行HTTP GET的請求，以便從動態(tài)DNS域中獲取加密階段。

值得注意的是，僅當(dāng)目標(biāo)為關(guān)鍵性目標(biāo)時，才會發(fā)送有效負(fù)載。 從中可見，Gamaredon組織攻擊活動較為謹(jǐn)慎、小心的。Anomali的報告中寫道：

“只有在攻擊者確定當(dāng)前受感染的目標(biāo)值得第二階段有效載荷時，才會發(fā)送文件，否則，文件刪除將繼續(xù)在其循環(huán)中刪除，以刪除攻擊者活動的證據(jù)?！?

然而，針對此次報道的研究，下面這句話更值得研究：

當(dāng)全球各國政府都在利用戰(zhàn)役達(dá)到戰(zhàn)略目的時，這起有著俄羅斯國家背景的APT組織Gamaredon的行為，將對實體構(gòu)成巨大的威脅與挑戰(zhàn)。畢竟就俄羅斯而言，它的網(wǎng)絡(luò)行動有時是為了配合武裝部隊的活動。

誠然，網(wǎng)絡(luò)戰(zhàn)與實戰(zhàn)早已走向融合之勢，今日的網(wǎng)絡(luò)攻擊行為或許就是在醞釀著一場大的實體“陰謀”，也未可知。

外文參考鏈接：

《俄羅斯“加馬利登”黑客再次瞄準(zhǔn)烏克蘭官員》https://www.securityweek.com/russian-gamaredon-hackers-back-targeting-ukraine-officials

《東歐的俄羅斯陰影：烏克蘭國防部戰(zhàn)役》https://blog.yoroi.company/research/the-russian-shadow-in-eastern-europe-ukrainian-mod-campaign/