威胁情报 | 战争下的相爱相杀，疑似GamaCopy组织利用军事诱饵对俄发起攻击

作 者： 知道创宇404高级威胁情报团队

近期，团队在威胁狩猎过程中，发现了针对俄语区目标的攻击样本。团队还关联到另外一个样本，两个样本在运行流程是一致的，并且使用的诱饵主题也是相同的。

通过对样本的分析和关联，本次样本具备以下特点：

1. 利用军事设施相关内容为诱饵发起攻击。

2. 使用7z自解压程序（SFX）释放和加载后续载荷。

3. 利用开源工具UltraVNC进行后续的攻击行为。

4. 该组织的TTP模仿针对乌克兰进行攻击的Gamaredon组织。

在俄乌冲突持续进行的背景下，攻击者以军事设施相关内容为诱饵，利用开源工具发起攻击，这无疑是想通过“战争的迷雾”来隐藏自身。通过对样本的溯源，我们将其与多次针对俄罗斯发起攻击的Core Werewolf 关联起来。众所周知在南亚范围还有一对如此有趣的相相爱相杀的APT攻击活动，即是sidewinder和sidecopy，此次发现的攻击活动该组织的TTP模仿针对乌克兰进行攻击的Gamaredon组织因此可将其命名为GamaCopy。

与此同时，团队还注意到多个同类型的历史样本被其他安全厂商归属到Gamaredon组织，显然这是该组织的假旗行动成功的唬弄了部分未深入分析的厂商，本文就这一疑问展开分析，详细如下：

攻击者以关于俄罗斯武装部队设施的状况和位置信息，其中样本1中的诱饵文档如下：

样本2中诱饵文档如下：

以样本1为例，使用7z的#模式打开后能够看到其中包含的sfx相关的文件：

文件2为sfx自运行的安装脚本，脚本中包含了大量的字符注释，并将真实的运行语句夹杂在其中。其主要功能旨在运行2128869258671564.cmd（从2128869258671564复制而来）。

2128869258671564.cmd为bat脚本，通过setlocal enabledelayedexpansion设置本地为延迟扩展，(用于后续脚本内容的混淆，增加静态分析难度)

未解混淆前脚本内容如下：

对变量进行解混淆后，脚本如下：

脚本的主要功能包含：

1. 将Ki58j08O58F68M58q2.Pq87G87O97o67r27Y9复制为svod.pdf并运行。

2. 将yC61y51v51g71p61U4.Eb21h11U11Z31P71F8复制为OneDrivers.exe。

3. 将lC32A32W52T12R02u1.uZ94Y64M14m54z84J3复制为UltraVNC.ini。

4. 结束主机上已运行的OneDrivers.exe进程，并重新运行OneDrivers.exe。

事实上，上文中的“OneDrivers.exe”是开源远程桌面工具UltraVNC的主程序，攻击者为达到伪装的目的将其命名为系统常见进程名，并连接到指定命令服务器。这在一定程序上能够降低受害者的警惕。

根据已经掌握的APT组织信息来看，本次攻击样本可能归属到两个APT组织：Gamaredon或者GamaCopy：

Gamaredon，又称Shuckworm、Armageddon和Primitive Bear，自2013年以来一直以乌克兰的军队、非政府组织、司法机构、执法部门和非营利组织为目标。

GamaCopy于 2023 年 6 月首次被发现，并通过模仿Gamaredon的TTPs多次发动针对俄罗斯国防和关键基础设施部门的网络攻击。据信该组织至少自 2021 年 8 月起就一直活跃。

Gamaredon组织曾在以往的攻击活动中多次利用过7z-sfx文档和UltraVNC，经过分析我们发现Gamaredon使用UltraVNC的整个攻击链与本次发现样本具有较大的区别。Gamaredon多通过macros释放和加载最终的UltraVNC，并且在攻击链中会多次使用vbs脚本，例如2022年年初国外安全厂商曾曝光Gamaredon针对乌克兰的攻击活动中，通过多个计划任务中的vbs脚本下载后续载荷，其中就包括使用7z-sfx安装UltraVNC的示例。同时，我们还发现此前Gamaredon使用UltraVNC时，多使用5612端口，而非本次样本中使用的443端口。

那么本次攻击样本是否属于GamaCopy组织呢？从BI.ZONE[2]最初的曝光来看，本次样本中的结构以及代码呈现出较大程度的重叠，例如均使用7z-sfx文档安装并执行UltraVNC、均使用连接到服务端的443端口和使用大量的延迟扩展变量增加代码复杂度：

此外，我们注意到本次样本的诱饵文档主题为部队军事设施和部署相关，在当前俄乌冲突的大背景下，从防御和攻击两个角度来看，该类型文档属于敏感且均比较感兴趣的，但在我们分析了两个组织以往的诱饵文档使用语言的比例后，我们发现Gamaredon在以往的攻击活动中几乎使用的都是乌克兰语的诱饵，而GamaCopy组织则恰恰相反主要使用俄罗斯语。

例如针对俄罗斯外交部国防政策相关人员的样本诱饵：

俄罗斯最大股份公司之一的内部订单用作诱饵的攻击：

基于以上分析，从代码的相似性、诱饵文档的语言使用以及端口资产等方面，更倾向于将本次发现的攻击样本归属于GamaCopy组织，该组织从被曝光至今，频繁的模仿Gararedon组织曾使用的TTPs，更是巧妙的使用开源工具作为挡箭牌，在混淆视听的情况下达成自身的目的。

Hash:
- c9ffc90487ddcb4bb0540ea4e2a1ce040740371bb0f3ad70e36824d486058349
- a9799ed289b967be92f920616015e58ae6e27defaa48f377d3cd701d0915fe53
- afcbaae700e1779d3e0abe52bf0f085945fc9b6935f7105706b1ab4a823f565f
- 2da473d1f510d0ddbae074a6c13953863c25be479acedc899c5529ec55bd2a65
- 2b2da38b62916c448235038f09c51f226d96087df531b9a508e272b9e87c909d
- f583523bba0a3c27e08ebb4404d74924b99537b01af5f35f43c44416f600079e

C2:
- nefteparkstroy.ru[:]443
- fmsru.ru[:]443