Gallmaker–针对东欧、中东的APT组织

Gallmaker,一个新的网络间谍组织。据赛门铁克的研究人员称该组织已对一个东欧国家的几个海外大使馆以及中东的军事和国防组织发动攻击。Gallmaker是一个出于政治动机的APT小组,专注于政府,军队或国防部门(水有可能又泼到毛子头上了)。

在2017年4月,Gallmaker一直活跃,其活动在4月份出现飙升,最近的一次袭击发生在6月份。

活动时间:

Gallmaker组织在攻击活动中最有趣的是在其操作中不使用恶意软件。相反,我们观察到的攻击活动仅使用LotL策略和公开的黑客工具来执行。该小组采取了一些方法来访问受害者的设备,然后部署了几种不同的攻击工具,如下所示:

  1. 该组织向受害者发送恶意Office诱饵文档,最有可能通过鱼叉式网络钓鱼邮件。
  2. 这些诱饵文件使用具有政府,军事和外交主题的标题,文件名以英语或西里尔语书写。这些文件不是很复杂,但感染的证据表明它们是有效的。攻击者使用东欧各种目标感兴趣的文件名,包括:
    • bg embassy list.docx
    • Navy.ro members list.docx
    • Документи виза Д – кореспонденция.docx
  1. 这些诱饵文档尝试利用Microsoft Office动态数据交换(DDE)协议来访问受害计算机。当受害者打开诱饵文件时,会出现一个警告,要求受害者“启用内容” 。如果用户启用此内容,则攻击者可以使用DDE协议远程执行受害者系统内存中的命令。通过仅在内存中运行,攻击者可以避免在磁盘上留下伪像,这使得他们的活动难以检测。
  2. 一旦Gallmaker攻击者获得对设备的访问权限,他们就会执行各种工具,包括:
  • WindowsRoamingToolsTask:用于计划PowerShell脚本和任务。
  • 来自Metasploit的“reverse_tcp”有效负载:攻击者使用通过PowerShell执行的混淆shellcode来下载此反向shell。
  • WinZip控制台的合法版本:这将创建一个执行命令并与命令和控制(C&C)服务器通信的任务。这个WinZip控制台可能用于存档数据,可能用于渗透。
  • Rex PowerShell库在GitHub上公开可用,也可以在受害者计算机上看到。此库有助于创建和操作PowerShell脚本,以便与Metasploit漏洞利用一起使用。 

      Gallmaker正在为其C&C基础设施使用三个主要IP地址与受感染设备进行通信。它一旦完成就会从受害机器上删除它的一些工具,以隐藏其活动的痕迹。

IOC:

https://content.connect.symantec.com/sites/default/files/2018-10/Gallmaker%20IOCs.txt

type	ioc	group
sha256	f3800f2afe12032c74bdda047a21d0f45b7071afd4205a4a411214054e89e91a	Gallmaker
sha256	c6d19afa4f6d25eb8f1065aaec4e83ef944d24579428f50a99c2798806fe1f36	Gallmaker
sha256	b539d239d9c3632c779824b7281a84b0f610173755db2c86a8d407ac572d90fa	Gallmaker
sha256	9e1b349924492e6acde530edb06193fc8c8bb3300d7c09540d4e5756e3368b4e	Gallmaker
sha256	8027279c68db9e4d0af59bc2c973736e2d646f951e310d866dac9136c74f70af	Gallmaker
sha256	6198492547f89a31255c3b1666af17c91fd6d697f5390b2f88b0583b44a6afb8	Gallmaker
sha256	5c78e1249e0497455a014142790443c1c19f6a7d384b2619f054067863fa69dc	Gallmaker
sha256	31ceb7b1cc0041353153b2bf0ad02fb386d041470c07f777c8d008ec55aa8038	Gallmaker
sha256	22daaa5775e7b2d12b14f4e355911599f2a31056a240969b68ccd2454fa98434	Gallmaker
sha256	1544472f03283e32bbe0c5121de799650b4cf9166c871e7b17b381e5a0a0e2f6	Gallmaker
sha256	182b2a51599b776fa1fd4ef9e129d5b8a8ba9c04f874ae8d8ba57d2aec9385c3	Gallmaker
sha256	1f7b1ee1d2a3e37c0922c74b1c04ccc3d0d63b07a8c5607d0a7ee449d38b98f6	Gallmaker
sha256	0860a07f151856ee4cfd5e3fc87e77aae06bbdb08b19d7d1a047757dc39c6584	Gallmaker
sha256	49b77eec9123f84620d30e1f01b4b62992fbd9b1624201df02ebe0a01fb0093a	Gallmaker
sha256	78c5a155beb86d7630bfdd25f573a6ab70d937e4fb4ab86f0f75d1ba6d5b9048	Gallmaker
md5	f9a0bc69ee0067ec7eeb9f0679b141bf	Gallmaker
md5	d3ed0a6643b5def7cd2bf26d078e873d	Gallmaker
md5	c99f69f46701739478c25a1d278f7869	Gallmaker
md5	bc34cf16bbb185fe9da6980a19e25f74	Gallmaker
md5	b246a718811f79119f30537c3279b38b	Gallmaker
md5	aaf6f977c675c0f98d37e8e9e80a57b2	Gallmaker
md5	746212ef5111d94e823ea99991b9d2e1	Gallmaker
md5	58a0cf2c6a578669ad86d81bcc568bc2	Gallmaker
md5	4aea481865972a0e9cd35250e03cf450	Gallmaker
md5	4395348055019c666a7a2dba23106824	Gallmaker
md5	0b6125bd9e8b7ece761d47f1091678db	Gallmaker
md5	19f1dfd6f46c9ab4c30702f7fe388920	Gallmaker
md5	3a2f4adedd80ab32e7a98fdab56e1c26	Gallmaker
md5	b1f4b9173beb96d7c19f6a36892b4437	Gallmaker
md5	f6ca38d0912c2f2d753b6810dffd02d1	Gallmaker
ip_address	212.38.169.87	Gallmaker
ip_address	212.38.169.91	Gallmaker
ip_address	82.202.120.156	Gallmaker
ip_address	93.109.241.154	Gallmaker
ip_address	94.140.116.124	Gallmaker
ip_address	94.140.116.231	Gallmaker
ip_address	111.90.149.99	Gallmaker

发表评论

电子邮件地址不会被公开。 必填项已用*标注