APT-C-53(Gamaredon)在近期攻击中的新变化

APT-C-53又称Gamaredon,长期以来活跃在东欧地区。自今年以来,我们多次观察到APT-C-53在攻击活动中对自身攻击武器进行了调整和优化,同时提高了攻击活动的操作频率。

1.加强版的VBS混淆


在历史攻击活动中,虽然混淆风格不同,但大体上代码的混淆思路就是关键字符串拆开,并插入注释的垃圾内容,垃圾内容可以是上图的垃圾信息,也可以是垃圾代码:


通过对关键字符串的拆分和垃圾字符串的引入,针对这类脚本的自动化IOC提取将变得困难,但对人工阅读影响并不十分明显,借助语法高亮等编辑器功能,分析人员还是可以轻松地从代码中获取C2等重要信息。

但自今年以来,我们观察到该组织对脚本的混淆等级进行了提升,代码可读性几乎为0,分析人员想要用肉眼提取有效信息的可能性基本不存在:


一个简单的VBS下载器经过此类混淆后,原本几十行的代码量可以达到一万行到两万行之间,单个脚本文件大小高达1mb

借助360安全大脑的新一代脚本解析引擎,我们对这些混淆风格激进的脚本进行了解析,其上万行的代码只是在拼接出核心代码,拼接完成后再调用ExecuteEval函数进行执行:

APT-C-53组织将自身VBS系列组件都更新成了这种激进的混淆风格,往期报告中我们提到过的用于自动生成恶意LNKVBS文件也通过这种方式进行了混淆。

2. 隐藏在注册表中的VBS

我们在历史的相关报告中披露过,APT-C-53常用的可持续性控制手法是创建计划任务来执行VBS脚本:


通过对APT-C-53组织相关活动的持续追踪,我们发现该组织的持续化手法发生了一定的变化,在计划任务启动后,调用mshta执行Powershell命令并启动wscript进程,而VBS代码则保存在了注册表的HKCU\Console\FaceNames位置下:


用于创建这一计划任务和计划任务将执行的VBS代码也经过前文所述的高度混淆,最终功能依旧是远程下载并执行payload,下载前依旧需要先对域名进行DNS解析,然后将得到的IP拼接成URL

脚本通过拼接后的URL下载并执行下一阶段的payload,通过这种方式,只要保持对域名的控制,APT-C-53可以不断更换远程服务器的地址,因此在类似攻击活动的检测和拦截中,除了http流量的目标地址以外,还需要关注DNS解析时的数据。

 
(完)