俄罗斯黑客组织干扰乌克兰大选？

概述

前段时间，外媒爆出疑似APT28干扰乌克兰大选的攻击活动，详情见：，今日twitter大佬们又双叒叕披露了几个疑似俄罗斯APT组织Gamaredon攻击乌克兰的样本。其中更是有利用WinRAR漏洞进行攻击的样本。其展现该组织一致活跃并丰富其武器库

Gamaredon组织简介

Gamaredon组织是疑似来自俄罗斯的APT攻击组织，最早于2013年被LookingGlass的研究人员披露其针对乌克兰的攻击i活动，并将该活动命名为“Operation Armageddon”乌克兰国家安全局（SBU）曾针对此次网络攻击事件指责俄罗斯联邦安全局（FSB）。之后，2017年 ，paloalto披露更多该组织针对乌克兰攻击活动细节，并将其命名为 Gamaredon group

Gamaredon Group主要利用受感染域名，动态DNS，俄罗斯和乌克兰国家代码顶级域名（ccTLD）以及俄罗斯托管服务提供商来分发其定制的恶意软件。其恶意软件越发专注于使用自己开发的特马，功能越发齐全，包括以下功能。

    用于下载和执行其选择的附加有效负载的机制

    能够扫描特定文件类型的系统驱动器

    捕获屏幕截图的能力

    能够在用户的安全上下文中远程执行系统上的命令

SFX文件攻击

与之前paloalto曝光的攻击类似，Gamaredon Group继续使用SFX进行攻击，样本运行后，会显示正常的doc文档用以迷惑受害者，文档如下：

标题好像与乌克兰大选情况相关，twitter大佬@VK_Intel放出了大概的执行图如下：

WinRAR漏洞利用

twitter大佬们@h4ckak又分享了该组织一个利用winrar漏洞的攻击样本

后续木马截图

IOC

sfx攻击样本

MD5:7d0c68cbded1ad262e1e9138ea9dd2c1

49CDE7D0CA755F0C284D9690E84711AC

cc:winrouts.ddns.net

winrar漏洞利用样本：

MD5: 0FE5E07626042E39245206C27643A24

CC: lisingrout.ddns.net