Гамаредон также известен как Primitive Bear (CrowdStrike), Winterflouder (iDefence), BlueAlpha (Recorded Future), BlueOtso (PWC), IronTiden (SecureWorks), SectorC08 (Red Alert), Callisto (Ассоциация НАТО Канады), Shuckworm и Armageddon (CERT-UA).
Тактика, техника и процедуры (ТТП) группы хорошо документированы и часто включают использование социальной инженерии, spear-phishing и вредоносных программ, включая бэкдоры и программы для кражи информации. Считается, что конечной целью группы является сбор разведданных.
Gamaredon APT
В январе 2023 года группа продолжает проводить наступательные атаки на цели в Украине, о чем свидетельствуют данные Symantec, BlackBerry Research и Trellix. В течение последних недель я обнаружил доказательства ранее неизвестной кампании Gamaredon, направленной против ряда организаций в стране.
Эта кампания, являющаяся частью продолжающейся операции по шпионажу, замеченной еще в феврале 2023 года, направлена на доставку вредоносного ПО на машины украинских жертв и активно использует обфусцированные сценарии PowerShell и VBScript (VBS) в качестве части цепочки заражения. Вредоносная программа представляет собой WebShell, включающий возможности для выполнения удаленных команд злоумышленника и развертывания дополнительных бинарных и скриптовых полезных нагрузок на зараженной машине.
Вектор атаки состоит из фишингового письма с минимальным содержанием тела и вложения. После открытия вложения жертвой система будет скомпрометирована путем установки WebShell. Как и в предыдущих операциях, Gamaredon полагается на целенаправленное распространение документов с оружием. Их обманчивые приманки имитируют официальные документы от реальных украинских правительственных организаций, тщательно разработанные для обмана людей, которые имеют законные основания взаимодействовать с этими организациями.
Для доставки вредоносных программ использовались несколько типов вложений. Некоторые примеры включают .xlsx, .doc, .xlsm и .docm, из которых .docm был самым распространенным.
После открытия документ Word выполняет сильно обфусцированный макрос под названием "xdm". Этот сценарий PowerShell декодирует и выполняет второй сценарий PowerShell (также обфусцированный), который передает отчет на командно-контрольный сервер.
Этот скрипт (который на самом деле является WebShell) также позволяет удаленному серверу отправить команду PowerShell для локального выполнения.
Первый уровень обфускации достигается путем изменения Base64-кодировки полезной нагрузки.
После декодирования первой полезной нагрузки вредоносная программа обнаруживает второй уровень обфускации, который достигается с помощью ряда методов, таких как кодирование строк, обфускация команд и аргументов, переименование переменных и упаковка кода.
Применение нескольких методов обфускации может помочь субъектам угроз обойти системы обнаружения на основе сигнатур, которые основаны на выявлении определенных шаблонов кода, связанных с известными вредоносными действиями.
Вредоносная полезная нагрузка создает ряд переменных путем выполнения строковых операций и замены нескольких жестко закодированных строк. Полученные значения затем используются в нескольких командах Invoke-WebRequest для выполнения HTTP-запросов к C&C-серверу, указанному переменными.
Давайте пройдемся по коду шаг за шагом. Сценарий начинается с определения трех переменных:
- $s, которая содержит адрес и порт удаленного сервера 141[.]8[.]197[.]42:4000.
- $i - строка авторизации 17e9c023-7c9d6f61-48eb357e.
- $p, который содержит схему URL http://.
Далее сценарий вызывает метод REST с помощью Invoke-RestMethod с URL $p$s/17e9c023/$env:COMPUTERNAME/$env:USERNAME и HTTP-заголовком, содержащим строку авторизации $i. Результат этого метода сохраняется в переменной $v.
Затем сценарий входит в цикл, который выполняется неограниченное количество раз. На каждой итерации сценарий вызывает другой метод REST с помощью Invoke-RestMethod с URL $p$s/7c9d6f61 и HTTP-заголовком, содержащим строку авторизации $i. Результат этого метода (команда, полученная от сервера C&C) сохраняется в переменной $c.
Затем ответ сервера анализируется на предмет наличия команд для выполнения: если $c не равен строке "None", значит, есть новая команда от C&C-сервера, поэтому сценарий использует Invoke-Expression для запуска содержимого $c как команды PowerShell и сохраняет вывод в переменной $r. Затем сценарий вызывает другой метод REST с помощью Invoke-RestMethod с URL $p$s/48eb357e, HTTP-заголовком, содержащим строку авторизации $i, и телом, содержащим вывод предыдущей команды, скомбинированный с содержимым переменной $e (в которой хранятся любые сообщения об ошибках, созданные командой Invoke-Expression).
Наконец, сценарий использует команду Sleep для ожидания в течение 0,8 секунды перед повторением цикла.
Сценарий выполняется с помощью исполняемого файла powershell с параметром -command и параметром -ArgumentList, который содержит сценарий в блоке сценариев PowerShell. Параметр -WindowStyle установлен на Hidden, что означает, что окно PowerShell будет работать в фоновом режиме без отображения.
Это не единственный пример, с которым я столкнулся: в одном из вариантов зараженного документа Word адрес командно-контрольного сервера запрашивался с жестко закодированного аккаунта Telegram, причем каждый аккаунт периодически разворачивал новые IP-адреса. Как только IP-адрес получен, он используется для сборки ранее проанализированной полезной нагрузки.
Получение IP-адресов из учетных записей Telegram - это техника, которая была связана с группой Gamaredon в ряде кампаний, включая последнее исследование BlackBerry. Однако мое внимание привлекла полезная нагрузка PowerShell: было интригующе обнаружить, что она содержит строку авторизации (например, 17e9c023-7c9d6f61-48eb357e), которая передается в C&C через заголовок, и эта строка различна для каждой цели. Это позволяет предположить, что Gamaredon атакует своих жертв с помощью узконаправленных атак.
Hoaxshell - это обратная оболочка с открытым исходным кодом для Windows, созданная исследователем безопасности Панагиотисом Чартасом. Проект злоупотребляет протоколом HTTP для создания маячкоподобного соединения с C&C посредством повторяющихся GET-запросов, создавая иллюзию наличия настоящей оболочки.
Основной файл, используемый для генерации полезной нагрузки, написан на Python, в то время как реальный код WebShell - это чистый PowerShell.
Одна из причин, по которой проект набрал популярность, заключается в том, что он включает встроенные методы обфускации и так хорошо работает против систем с антивирусными решениями, оставаясь незамеченным.
Возможно, именно по этой причине группа Gamaredon использовала проект в данной кампании; на самом деле, документ Word с вредоносной полезной нагрузкой на основе Hoaxshell (с несколькими твиками, добавленными Gamaredon) смог полностью обойти некоторые из самых популярных AV-решений, включая Microsoft Defender, Kaspersky, McAfee и SentinelOne.
Тот факт, что Гамаредон использовал проект с открытым исходным кодом, такой как Hoaxshell, не является неожиданностью: группа была замечена в использовании широко доступных инструментов, таких как троян удаленного доступа (RAT) под названием "njRAT", инструмент удаленного рабочего стола "UltraVNC" и сетевой сканер "Masscan". Эти готовые инструменты предоставляют группе базовую функциональность, например, возможность удаленного управления взломанными системами или сканирования уязвимых целей.
Помимо готовых инструментов, известно, что группа разрабатывает собственные инструменты и вредоносное ПО для осуществления конкретных атак. Например, было замечено, что группа использует разработанные ею бэкдоры, такие как "Pterodo" и "BlackEnergy", для получения доступа к целевым системам и поддержания устойчивости в сети.
Использование как готовых, так и разработанных на заказ инструментов позволяет группе Gamaredon проводить эффективные и действенные атаки, одновременно затрудняя защитникам обнаружение и реагирование на их действия.
В данной кампании, после того как Gamaredon закрепилась в сети с помощью вредоносного документа Word, группа выполняла разведывательные команды и развертывала бэкдор "Pterodo" для поддержания устойчивости.
После того, как группа получила постоянный доступ к цели, злоумышленники загрузили другой вариант бэкдора "Pterodo" и начали запускать дополнительные скрипты и создавать запланированные задачи для выполнения каждые несколько минут.
schtasks.exe /CREATE /sc minute /mo 12 /tn "BackgroundConfig" /tr "depended.exe" mediatv.mov //e:VBScript //b /F
schtasks.exe /CREATE /sc minute /mo 12 /tn "VideoHostName" /tr "wscript.exe" videotv.m3u //e:VBScript //b /FПозже новый файл под названием deerskin.exe был загружен с помощью оболочки Hoaxshell: при выполнении он проверяет подключение к Интернету, затем запускает VNC-клиент (UltraVNC) и устанавливает соединение с удаленным C&C-сервером Гамаредона.
Анализ этой кампании выявил ряд закономерностей, которые могут быть полезны для возможностей обнаружения:
- Большинство URL и IP, относящихся к группе, связаны с AS9123 TimeWeb Ltd. (Россия). (Россия);
- Большинство URL, используемых для C&C-серверов Gamaredon, являются субдоменами xsph[.]ru;
- Почти все вредоносные файлы состоят из слов, начинающихся с буквы "d";
С течением времени Gamaredon меняла инфраструктуру; однако стоит отметить, что инструменты, используемые группой, хотя и не отличаются особой сложностью архитектуры и реализации, все же были весьма эффективны при осуществлении преступной деятельности. Стоит также отметить, что группа не проявляла особого интереса к латеральному перемещению в сети, полагаясь на свои тактики, техники и процедуры (ТТП) для компрометации большого количества индивидуальных пользовательских систем путем целенаправленной доставки вредоносного ПО.
Как уже упоминалось ранее, Gamaredon использует инструменты с открытым исходным кодом для распространения своих вредоносных программ, которые обычно доставляются через фишинговые электронные письма. Когда жертва получает вредоносное письмо, ей отправляется вложение в формате Word или Excel, содержащее вредоносное ПО. На заключительном этапе атаки группа использует программное обеспечение для удаленного доступа и инструменты для сбора информации.
Для размещения командных и управляющих серверов в этой кампании группа Gamaredon использовала исключительно российских телекоммуникационных провайдеров, большинство из которых были предоставлены компаниями IP Server LLC, Hosting technology LTD, TimeWeb LLC и SprintHost LLC.RU.
Несмотря на неоднократное публичное разоблачение, группа Gamaredon продолжает использовать одни и те же упрощенные методы, часто полагаясь на легкодоступные инструменты (такие как Hoaxshell) и сильную обфускацию, и даже повторно использует код в новых атаках.
Несмотря на это, группа добилась заметных успехов в своих операциях и продолжает представлять значительную киберугрозу для Украины. Цепочка атак группы характеризуется широким использованием документов Office, инъекций шаблонов Office, WMI и динамических макросов VBA, что делает ее очень гибкой и адаптируемой.
Indicators of Compromise
IPv4
- 141.8.197.42
- 141.8.192.151
IPv4 Port Combinations
- 141.8.197.42:4000
URLs
- http://f0559838.xsph.ru
- http://a0728173.xsph.ru
SHA256
- 0724a8db352e34fc2597974099bf0376d0d31780c0b02e1edb2bcb5905d852dc
- 2ad5a546eae0feabadd0d4416eb03cbda697a25a1f9528c0dce46cefa4dc550a
- d9c89bf2575ceb88bb395fc1e77895a95fe600856a8b0d5eadcd47cf8d066c41