在云端检测和捕获GADOLINIUM 恶意组织活动

最近，微软威胁情报中心(MSTIC)盘点了GADOLINIUM攻击组织技术的发展。GADOLINIUM被认为是一个国家级的APT攻击组织，近十年来一直在攻击全球范围内的海事和卫生行业。

与大多数攻击组织一样，GADOLINIUM组织也跟踪安全从业人员的工具和技术，想办法找到这些技术的缺陷，进而进行攻击。该组织曾发送带有恶意附件的鱼叉式钓鱼邮件，使用云服务和开源工具来武器化恶意软件的有效载荷，试图获得对服务器的命令和控制，并通过混淆技术防止被发现。最近，MSTIC观察到攻击者新的目标已经扩展到亚太地区的高校和政府组织之外。

从历史上看，GADOLINIUM使用了定制的恶意软件家族，分析人员可以识别和防御这些家族。作为回应，在过去的一年中，GADOLINIUM已开始修改其部分工具链，通过利用开源工具包来掩盖其活动，使分析人员更难以追踪。由于云服务经常提供免费试用或一次性支付（PayGo）的帐户服务，因此恶意攻击者找到了利用这些合法业务服务的方法。通过免费试用或PayGo帐户，他们可以使用基于云的技术来创建恶意基础架构，该基础架构可以快速建立，然后在检测到之前就以很少的成本关闭或放弃。

以下关于GADOLINIUM组织的技术分析旨在为安全从业人员提供该攻击组织的攻击目标和信息，这些信息将有助于他们更好地抵御这些攻击。

一、2016年：在云端进行实验

多年来，GADOLINIUM一直在尝试使用云服务来进行攻击，以提高操作速度和规模。图1来自于2016年建立的被GADOLINIUM控制的一个微软 TechNet配置文件。早期使用的TechNet配置文件的联系人插件嵌入了一个非常小的文本链接，该链接包含一个用于恶意软件读取的编码命令。

图1：GADOLINIUM控制的TechNet配置文件，内嵌了恶意软件链接

二、2018年：在云端开发攻击

2018年，GADOLINIUM重新使用云服务，但这次它选择使用GitHub来存储命令。图2显示了在GADOLINIUM控制的分支存储库上GitHub历史记录。在这个存储库中，攻击者更新了markdown文本以向受害计算机发出新的命令。MSTIC（微软威胁情报中心）与微软GitHub的工作人员合作，禁封了该攻击者的帐户，中断了GADOLINIUM组织利用GitHub平台进行攻击。

图2:GADOLINIUM控制的GitHub储存库

三、2019-2020年:利用开源隐藏

1. GADOLINIUM组织不断发展新技术

在2019年和2020年，GADOLINIUM使用类似的策略和技术投递了最新的攻击链。下面简要介绍了这些攻击技术的发展过程，然后详细分析了安全人员可以使用的每个步骤，以便更好地理解该威胁活动，以及实施什么防御措施来应对攻击。

2. 武器化

在去年，微软观察到GADOLINIUM基于开源工具包迁移了其部分工具链技术。GADOLINIUM并不是唯一这样做的攻击组织。MSTIC注意到最近几年，个别国家级的APT攻击组织，开始逐渐使用开源工具。MSTIC认为这一举动是为了避免其被发现。使用开源工具的另一个好处是，开发和创建新功能是由其他人免费完成的。然而，使用开源工具并不总是能解决混淆和融入噪声问题的。

3. 投递 & 利用(2019)

在2019年，微软发现GADOLINIUM将恶意Access数据库文件发送给目标。最初的恶意文件是Access 2013数据库（.accde格式）。这导致一个伪造的Word文档被打开，同时打开的还有一个Excel表和一个名为mm.accdb.core的文件，该文件随后被执行。文件mm.accdb.core是基于CactusTorch VBA模块的 VBA dropper，它可以加载.NET DLL有效载荷，设置配置信息，然后运行有效载荷。office365防御软件检测并阻止了电子邮件中的恶意微软Access数据库附件。下面显示了一个修改过的配置示例。

图3：VBA修改配置并调用有效载荷的“run”函数

4. 命令和控制(2019)

有效载荷获得对受害者计算机的访问权限后，便使用Outlook Tasks的附件作为命令和控制机制(C2)。它通过登录login.microsoftonline.com，使用一个由GADOLINIUM攻击组织控制的OAuth访问令牌，调用Outlook任务 API来检查任务。攻击者使用Outlook任务的附件作为发送命令或.NET有效载荷来执行。在受害端，恶意软件会将执行这些命令的输出作为Outlook任务进一步的附件。

有趣的是，该恶意软件的代码编译方式似乎并未在微软所发现的攻击中使用。除了上述的Outlook Tasks API方法外，其他的代码还包含另外两种将Office365作为C2的方法，通过 Outlook Contacts API (获取和添加联系人)或OneDrive API(列出目录，获取和添加文件)。

5. 对目标进行攻击(2019)

GADOLINIUM使用了几种不同的恶意载荷来实现其利用或入侵目标，包括一系列PowerShell脚本来操作文件（读/写/列表等）、实现命令与控制、执行SMB命令（上传/下载/删除等），从而隐蔽地窃取数据。

LazyCat是GADOLINIUM使用的工具之一，它包括特权升级和凭证转存功能，以实现在受害网络上的横向移动。

6. 投递(2020)

在2020年4月中旬，GADOLINIUM攻击者被发现其发送带有恶意附件的鱼叉式网络钓鱼邮件。这些附件的文件名是为了吸引目标群体对COVID-19（新冠肺炎）的兴趣而命名的。PowerPoint文件(20200423-sitrep-92-covid-19.ppt)在运行时将删除文件doc1.dotm。

7. 命令和控制(2020)

恶意doc1.dotm具有两个载荷。

第一个有效载荷，通过DisableActivitySurrogateSelectorTypeCheck关闭了第二阶段需要的类型检查。
第二个有效载荷将加载一个嵌入式.Net二进制文件，该二进制文件将下载、解密并运行.png文件。

.png实际上是PowerShell使用Microsoft Graph API将伪造的png文件下载并上传到https://graph.microsoft.com/v1.0/drive/root:/onlinework/contact/$($ID)_1.png:/content，其中$ ID是恶意软件的ID。GADOLINIUM PowerShell是开源 PowershellEmpire toolkit的修改版本。

8. 对目标进行攻击(2020)

GADOLINIUM PowerShell Empire工具包允许攻击者通过Microsoft Graph API调用，将其他模块无缝加载到受害计算机。它提供了一个命令和控制模块，该模块使用攻击者的Microsoft OneDrive帐户执行命令并在攻击者和受害者系统之间检索结果。对于传统的SOC监控来识别，使用PowerShell Empire模块特别具有挑战性。攻击者使用Azure Active Directory应用程序配置受害端，使具有将数据窃取到自己的Microsoft OneDrive存储所需的权限。从端点或网络监视的角度来看，该活动最初似乎与使用可信云服务API的可信应用程序有关，在这种情况下，不会发生OAuth许可同意的提示。在本文的后面，将提供有关微软如何使用其云基础架构来主动防止攻击者的其他信息。

9. 命令和控制-攻陷服务器

GADOLINIUM活动通常涉及在合法网站上安装Web Shell，以进行命令和控制或流量重定向。微软在今年早些时候写了博客(https://www.microsoft.com/security/blog/2020/02/04/ghost-in-the-shell-investigating-web-shell-attacks/），介绍了多个攻击组织对Web Shell的使用以及如何检测此类活动。

10. 微软积极采取措施

毫无疑问，GADOLINIUM将朝着他们的目标继续发展其技术。为了安全从业人员可以扩大对GADOLINIUM的监测范围，分享以下与其活动相关的威胁指标(IOCs)。

四、相关的GADOLINIUM指标列表

1. 恶意文档附件哈希

faebff04d7ca9cca92975e06c4a0e9ce1455860147d8432ff9fc24622b7cf675f61212ab1362dffd3fa6258116973fb924068217317d2bc562481b037c806a0a

2. 恶意邮件地址

Chris.sukkar@hotmail.comPhillipAdamsthird@hotmail.comsdfwfde234sdws@outlook.comjenny1235667@outlook.comfghfert32423dsa@outlook.comsroggeveen@outlook.comRobertFetter.fdmed@hotmail.comHeather.mayx@outlook.com

3. 与恶意应用程序关联的Azure Active Directory应用程序ID

ae213805-a6a2-476c-9c82-c37dfc0b6a6cafd7a273-982b-4873-984a-063d0d3ca23d58e2e113-b4c9-4f1a-927a-ae29e2e1cdeb8ba5106c-692d-4a86-ad3f-fc76f01b890dbe561020-ba37-47b2-99ab-29dd1a4312c4574b7f3b-36da-41ee-86b9-c076f999b1de941ec5a5-d5bf-419e-aa93-c5afd0b01effd9404c7d-796d-4500-877e-d1b49f02c9df67e2bb25-1f61-47b6-9ae3-c6104e5878829085bb9e-9b56-4b84-b21e-bd5d5c7b0de0289d71ad-54ee-44a4-8d9a-9294f19b0069a5ea2576-4191-4e9a-bfed-760fff616fbf802172dc-8014-42a9-b765-133c07039f9ffb33785b-f3f7-4b2b-b5c1-f688d3de1bdec196c17d-1e3c-4049-a989-c62f7afaf7f379128217-d61e-41f9-a165-e06e1d672069f4a41d96-2045-4d75-a0ec-9970b0150b5288d43534-4128-4969-b5c4-ceefd9b31d02