APT-C-53(Gamaredon)在近期攻击中的新变化

APT 3年前 (2022) admin
789 0 0


APT-C-53
  Gamaredon
APT-C-53又称Gamaredon,长期以来活跃在东欧地区。自今年以来,我们多次观察到APT-C-53在攻击活动中对自身攻击武器进行了调整和优化,同时提高了攻击活动的操作频率。



1.加强版的VBS混淆


在往期我们针对APT-C-53组织相关攻击活动的报告中提到过,该组织偏好采用VBS脚本作为下载器、释放器及可持续化控制的手段之一,为了阻碍分析人员的工作,该组织会将脚本中的关键字符串甚至是代码进行破碎和编码,并加入一些垃圾段落来降低脚本的可读性:

APT-C-53(Gamaredon)在近期攻击中的新变化


在历史攻击活动中,虽然混淆风格不同,但大体上代码的混淆思路就是关键字符串拆开,并插入注释的垃圾内容,垃圾内容可以是上图的垃圾信息,也可以是垃圾代码:
APT-C-53(Gamaredon)在近期攻击中的新变化

通过对关键字符串的拆分和垃圾字符串的引入,针对这类脚本的自动化IOC提取将变得困难,但对人工阅读影响并不十分明显,借助语法高亮等编辑器功能,分析人员还是可以轻松地从代码中获取C2等重要信息。
但自今年以来,我们观察到该组织对脚本的混淆等级进行了提升,代码可读性几乎为0,分析人员想要用肉眼提取有效信息的可能性基本不存在:
APT-C-53(Gamaredon)在近期攻击中的新变化

一个简单的VBS下载器经过此类混淆后,原本几十行的代码量可以达到一万行到两万行之间,单个脚本文件大小高达1mb。
借助360安全大脑的新一代脚本解析引擎,我们对这些混淆风格激进的脚本进行了解析,其上万行的代码只是在拼接出核心代码,拼接完成后再调用Execute和Eval函数进行执行:
APT-C-53(Gamaredon)在近期攻击中的新变化

APT-C-53组织将自身VBS系列组件都更新成了这种激进的混淆风格,往期报告中我们提到过的用于自动生成恶意LNK的VBS文件也通过这种方式进行了混淆。


2. 隐藏在注册表中的VBS


我们在历史的相关报告中披露过,APT-C-53常用的可持续性控制手法是创建计划任务来执行VBS脚本:
APT-C-53(Gamaredon)在近期攻击中的新变化

通过对APT-C-53组织相关活动的持续追踪,我们发现该组织的持续化手法发生了一定的变化,在计划任务启动后,调用mshta执行Powershell命令并启动wscript进程,而VBS代码则保存在了注册表的HKCUConsoleFaceNames位置下:
APT-C-53(Gamaredon)在近期攻击中的新变化

用于创建这一计划任务和计划任务将执行的VBS代码也经过前文所述的高度混淆,最终功能依旧是远程下载并执行payload,下载前依旧需要先对域名进行DNS解析,然后将得到的IP拼接成URL:

APT-C-53(Gamaredon)在近期攻击中的新变化


脚本通过拼接后的URL下载并执行下一阶段的payload,通过这种方式,只要保持对域名的控制,APT-C-53可以不断更换远程服务器的地址,因此在类似攻击活动的检测和拦截中,除了http流量的目标地址以外,还需要关注DNS解析时的数据。



附录 IOC


部分IOC列表如下:
2dd7d9c6dd355bc1d2bf0ac7d4f9eaaf

a348f0b7a0c2cadc62eaceacacc79215

dddd77f42bfb365f36762ad4db4a741e

e14b562b4b3f7e78e96e6dfe6506ec53

e41875017b2c56384ae680d0f5aed11f

f4e7c05fde022ec76f8c2f0a4cf2e1b3

cd460b1382a61be2ae917397e52032bc









360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):APT-C-53(Gamaredon)在近期攻击中的新变化

版权声明:admin 发表于 2022年3月18日 下午3:03。
转载请注明:APT-C-53(Gamaredon)在近期攻击中的新变化 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...