背景
Gamaredon(也称为 Primitive Bear、Actinium 或 Shuckworm)是一个俄罗斯高级持续威胁 (APT) 组织,至少自 2013 年以来一直活跃,历史上遍及美国和印度次大陆,最近又在乌克兰,包括据报道对乌克兰发动的攻击西方政府实体:
资料来源:Talos,2021 年
Gamaredon 是一个高度好战的威胁组织,他们与其他 APT 组织使用的打了就跑的战术不同,它传播严重混淆且具有独特攻击性的持续攻击。
Gamaredon TTPS
该组织利用鱼叉式网络钓鱼和社会工程来传播隐藏在 MS Word 文档中的恶意软件:
Gamaredon MS Word 恶意软件的 MalwareBazaar 目录
一旦打开文档并且用户满足一个或多个条件(例如地理位置、设备类型和系统规范),使用 MS Word 可以通过将有效负载托管在从攻击者控制的服务器下载的模板上来对抗静态分析。到交货。
用于鱼叉式网络钓鱼攻击的大量 Gamaredon 子域都链接到 TLD .ru,通过 REGRU-RU 注册并包含数字 71。
使用数字 71 的 Gamaredon 子域
使用快速流动
Gamaredon使用无数个IP地址进行操作,并使用通配符A记录来代替可定义的子域,以一种被称为快速流动的技术来逃避检测。
一大群IP与一个完全限定域名(FQDN)相关联,并通过区域文件中的自动DNS资源记录(RR)修改以极高的频率在攻击中轮换。
APT小组使用快速流动来规避传统的威胁检测方法,这些方法依赖于包含完整域名(包括子域)的威胁源。
组织不需要依赖于孤立的IOC列表,而是需要部署反措施来跟踪容纳攻击的底层基础设施——顶点域、ASN、注册器、权威名称服务器等——并推断出允许安全团队识别攻击者行为模式的相关数据集——ASN和IP多样性数据、命名约定等。
为了抵御快速变化的TTP,组织需要识别和阻止顶点域,而不考虑子域。让我们来看看我们是如何使用“无声推送”来做到这一点的…
深入探讨:samiseto[.]ru
每项调查都从一系列观察结果开始。多个在线来源报告了 Gamaredon 最近尝试使用 MS Word 模板从以下域注入恶意软件:
http://encyclopedia83。samiseto[.]ru /HOME-PC/registry/amiable/prick/sorry[.]83glf
http://relation46。samiseto[.]ru /DESKTOP-UVHG99D/percy[.]46rra
Twitter 帖子宣布 samiseto[.]ru 上托管恶意软件
检查 Virus Total 确认这些域已被标记为恶意,这主要是因为这些域在 Twitter 上被报告为泄露后情报:
展现Gamaredon的基础设施
我们采用了上述域名之一 的encyclopedia83.samiseto[.]ru(托管在 REGRU-RU 上) - 并通过交叉引用 WHOIS 信息、IP 多样性数据和反向查找来对其进行分析,从而揭示了新的域名 IOC 列表:
丰富百科全书83.samiseto[.]ru
我们发现了 98 个与 *samiseto[.]ru 相关的 A 记录,这些记录用于不断轮换:
samiseto[.]ru 的记录查找
进一步的分析显示,IP 地址的使用时间不超过 4 天,然后就会被新的 IP(以及新的子域)取代,从而帮助威胁行为者逃避检测,并使大多数孤立的 IOC 在发现后变得过时:
IP多样性得分高
为了提取可操作的 IOC,我们创建了 samiseto[.]ru 子域曾经指向的所有 IP 地址的列表,并应用反向查找来发现与这些 IP 关联的所有域,然后使用以下命令将域与威胁活动进行匹配一系列关键指标。
结果返回了 375 个顶点域的列表,我们用它来填充 Gamaredon 早期检测源,可供 Silent Push Enterprise 客户使用
使用通配符记录
我们注意到在 .samiseto[.]ru 之前添加的任何字符串组合都指向 5.44.42[.]154。运行 dig 命令后,我们能够确定攻击者正在使用通配符 A 记录来指向上述域:
Dig 命令显示通配符 A 记录的使用
Dig 命令证明使用通配符 A 记录
IP多样性和ASN分析
使用 IP 多样性数据,我们确定 samiseto[.]ru 在 30 天内指向了 15 个 IP 地址,其中一个 IP 地址托管在俄罗斯 ASN GIR-AS, RU (207713) 上,其余的通过哈萨克斯坦在 IT-GRAD, KZ (212819) 上托管:
samiseto[.]ru 的 IP/ASN 多样性数据
虽然 90 天内的大多数 IP 都可以追溯到 GIR-AS RU,但我们发现还使用了位于纽约的云服务组织 DIGITALOCEAN US:
samiseto[.]ru 的历史 ASN 数据
IOCs
quyenzo[.]ru
ulitron[.]ru
bromumo[.]ru
erinaceuso[.]ru
ayrympo[.]ru
caccabius[.]ru
madzhidgo[.]ru
amalsa[.]ru
dedspac[.]ru
141.98.233.109
46.29.234.119
141.98.233.103转载来源:https://www.silentpush.com/blog/from-russia-with-a-71
图片来源网络侵权可联系删除
