若风,俄罗斯APT进犯安排Gamaredon最新进犯样本-依然要清醒,好在有收获,十二星座运势分析

科创中国 admin 2019-11-08 116 次浏览 0个评论
网站分享代码

最近国外安全研究人员,又发布了一个Gamaredon组织的侵犯样本,运用歹意程序对乌克兰进行侵犯,伪装成行政诉讼,如下所示:

Gamaredon是一个俄罗斯的APT侵犯组织,初次呈现于2013年,首要是针对乌克兰进行网络间谍活动。2017年,Palo Alto发表过该组织针对乌克兰侵犯活动的细节,并初次将该组织命名若风,俄罗斯APT侵犯组织Gamaredon最新侵犯样本-仍然要清醒,好在有收成,十二星座运势剖析为Gamaredon group。

该组织首要运用受感染域名、动态DNS、俄罗斯和乌克兰国家代码尖端域名(ccTLD)以及俄罗斯保管服务提供商来分发其定制的歹意软件。

之前Gamaredon团队会运用很多运用现成的东西,经过开展,也开端定制开发相关的歹意软件,其自定义开发的歹意软件包括以下功用:

1、用于下载和履行其挑选的附加有用负载的机制

2、可以扫描特定文件类型的体系驱动器

3、捕获屏幕截图的才能

4、可以在用户的安全上下文立体贺卡中长途履行体系上的指令

5、SFX文件侵犯

若风,俄罗斯APT侵犯组织Gamaredon最新侵犯样本-仍然要清醒,好在有收成,十二星座运势剖析
欧美日本 广州火车站

1、用于下载和履行其挑选的附加有用负载的机制

2、可以扫描特定文件类型的体系驱动器

3、捕获屏幕截图的才能

4、可以在用户的安全克己驱狗水上下文中长途履行体系上的指令

5、SFX文件侵犯

歹意程序运转之后开释一个伪装成行政诉讼的WORD文档Document.docx,以及其它歹意脚本程序并运若风,俄罗斯APT侵犯组织Gamaredon最新侵犯样本-仍然要清醒,好在有收成,十二星座运势剖析行,如下所示:

在%appdata%目录下开释的文件,如下所示:

5369.cmd是一个混杂的脚本,经过豌豆公主cmd.exe程序履行:

剖析脚本,复制11816.txt到同目录下的Document.docx,伪装成行政诉讼的WORD文档:

一起复制18415.txt武战道到%APPDATA%\Microsoft\Installer目录下shell.cmd,如下所示:

脚本去混杂,删去无用的脚本代码,成果如图:

生成jqGVSbE.vbs脚本,然后再复制9383.txt到%APPDATA%\Microsoft\Inst若风,俄罗斯APT侵犯组织Gamaredon最新侵犯样本-仍然要清醒,好在有收成,十二星座运势剖析aller目录下的shell.exe程序,复制8954.txt到%APPDATA财金通书院%\Microsoft\Windows\Start Menu\Programs\Startup目录下shell.lnk,最终发动相应的脚本,删去文件,生成的两个主脚本程序在%APPDATA%\Microsoft圈套\Installer目录下。

jqGVSbE.vbs

此脚本的内容是修正注册表,答应对文档的VB模块进行拜访和修正,并发动VBA宏,如下所示:

8954.txt

此脚本是一个lnk快捷方式,用于生成自发动目录下的shell.lnk,指向naive的方针为生成的s钟沛枝hell.vbs脚本,如下所示:

包括的内容,如下所示:

18415.txt

此脚本被复制到%APPDATA%\Microsoft\Installer目录下shell.c马苏老公md,也是一个混杂的脚本,如下所示:

shell.cmd

下面分防沉迷免除析一下主脚本程序shell.cmd,去混杂之后,如下所示:

(1)拼接长途服务器URL地址http://lis若风,俄罗斯APT侵犯组织Gamaredon最新侵犯样本-仍然要清醒,好在有收成,十二星座运势剖析t-sert.ddns.net,如下所示:

(2)在%APPDATA%\Microsoft\Sys末日temCertificates\My\Certificates\PowerShell目录下生成ps1脚本和vbs脚本,如下所示:

生成后的脚3d溜溜本:

(3)将生成的vbs脚本,并设置为计划任务发动项,如下所示:

自发动计划任务如下所示:

(4)设置浏览器代码,并经过之前shell.exe程序发送数据包到长途服务器URL

h若风,俄罗斯APT侵犯组织Gamaredon最新侵犯样本-仍然要清醒,好在有收成,十二星座运势剖析ttp://document-lispiritsting.ddns.net,并下载相应的程序到%TEMP%目录,如下所示:

(5)生成的VBS脚本,首要用于发动生成PS脚本:

生成的PS脚本,首要用于长途衔接服务器,下载相应的歹意程序,如下所示:

(6)于长途服务器未衔接成功,导致下载歹意程序失利,创立的文件巨细为0KB,正常状况下载下来的文件应该为一个远控程序:

IOCs URL: MD5:

Email LibreOffice 12B5371D60129F305743284EDFB59B50

shell.cmd 986FB45573C836B9F791B0BE30353CAB

shell.vbs BB1ABBF4960D7A0A45BE76BFC83F82CA

PowerShellCertificates_1A9E9938.ps1 A34EF150FDBE13ABF8A628A1C25643BA

PowerShellCertificates_1A9E99若风,俄罗斯APT侵犯组织Gamaredon最新侵犯样本-仍然要清醒,好在有收成,十二星座运势剖析38.vbs CE84A815C9DCE52CC5177C2D76A2B418

Email LibreOffice 12B5371D60129F305743284EDFB59B50

shell.cmd 986FB45573C836B9F791B0BE30353CAB

shell.vbs BB1ABBF4960D7A0A45BE76BFC83F82CA

Pow英语毛遂自荐erShellCertificates_1A9E9938.ps1 A34EF150FDBE13ABF8A628A1C25643BA

PowerShellCertificates_1A9E9938.vbs CE84A815C9DCE52CC5177C2D76A2B418

*本文作者:深服气千里目安全实验室,转载请注明来自FreeBuf.COM