Symantec(賽門鐵克)最近新發現了一個以政府、軍事、國防部門及東歐國家的海外使館為攻擊目標的APT組織,他們在攻擊中有意隱藏身份,使用現有的攻擊策略和公開的攻擊工具,使得這一系列行為看起來與間諜活動性質極其類似。
Symantec最近新發現的APT組織被命名為Gallmaker,至少自2017年12月開始運營,最近一次的活動在2018年6月。
戰術和工具
Gallmaker的攻擊方法最具特色之處是他們在攻擊操作過程中不用惡意軟件,Symantec觀察到的攻擊活動僅使用LotL策略和公開的黑客工具來執行。他們採取了一系列步驟來訪問受害者的設備,隨後部署了幾種不同的攻擊工具,如下:
1.該組織向受害者發送惡意的辦公室誘餌文件,發送方式很可能是魚叉式網絡釣魚電子郵件。
2.這些誘餌文件使用帶有政府、軍事和外交主題的標題,文件名用英語或西里爾語書寫。文件本身不是很複雜,但感染的證據表明它們是有效的。攻擊者使用了會引發攻擊目標閱讀興趣的文件名,例如:
bg embassy list.docx
Navy.ro members list.docx
Документи виза Д - кореспонденция.docx
3.這些誘餌文檔嘗試利用Microsoft Office動態數據交換(DDE)協議來訪問受害計算機。當受害者打開誘餌文件時,會出現一個警告,要求受害者“啟用內容” 。如果用戶啟用此內容,則攻擊者可以使用DDE協議遠程執行受害者系統內存中的命令。通過僅在內存中運行,攻擊者可以避免在磁盤上留下痕跡,這使得他們的活動難以檢測。
4.一旦Gallmaker攻擊者獲得對設備的訪問權限,他們就會執行各種程序,包括:
WindowsRoamingToolsTask:用於調度PowerShell腳本和任務。
Metasploit的“reverse_tcp”負載:攻擊者使用通過PowerShell執行的模糊的shellcode下載這個反向shell。
WinZip控制檯的合法版本:將創建一個任務來執行命令並與命令與控制(C&C)服務器通信。它也可能用於存檔數據或者過濾新。
在GitHub上可公開使用的Rex PowerShell庫也在受害設備上出現。這個庫幫助創建和操作PowerShell腳本,以便於Metasploit漏洞一起運行。
Gallmaker為其C&C基礎設施使用三個主要IP地址與受感染的設備通信。也有證據表明,一旦它完成任務,就會從受損設備上刪除一些工具,以隱藏其活動的痕跡。
此外,Gallmaker利用了DDE協議功能,儘管微軟官方已經禁用,但受害者並沒有安裝相關補丁(或進行升級)。
目標和時間表
Gallmaker的活動目標似乎具有高度針對性,受害者都與政府,軍隊或國防部門有關,攻擊目標還包括東歐國家的大使館,儘管它們分佈於全球不同地區,但隸屬國家均一致。此外還有中東國防承包商和相關軍事組織,不過東歐和中東目標之間沒有明顯的聯繫。但目標特徵共性已經較為明顯,顯然攻擊事件並非偶然。
從Symantec跟蹤觀察它起,Gallmaker的活動總體表現還算穩定,變化趨勢見下圖。
如報告所說Gallmaker受害者都與政府,軍隊或國防部門有關。這些行業關係國家安全問題,更應重視信息安全建設。同時我們也要意識到,每個機構的信息安全現狀和業務情況都不相同,這也就意味著具體實施步驟和策略需要因地制宜。優炫軟件專注數據安全和數據庫領域,數據庫業務是數據安全的延伸和深化,是數據安全的基礎和核心環節。數據安全涉及操作系統安全、數據庫安全、邊界防護、雲安全、運維安全、業務安全六大安全產品體系20餘種安全產品,可為各行各業用戶提供全套信息安全解決方案。
閱讀更多 優炫軟件 的文章
