Gallmaker:针对全球政府,军事和国防机构的新APT间谍组织

安全专家最近发现了一个此前不为人知的APT间谍组织,后被命名为Gallmaker。这个组织被发现使用LotL策略来攻击全球范围内的目标,包括政府、军队和国防机构。



Gallmaker自2017年以来一直活跃,与其他组织稍显不同的是,它使用公开的黑客工具而非恶意软件。根据网络安全公司赛门铁克周三公布的 研究结果 ,在过去的10个月里,该组织已经瞄准了几个东欧国家的海外大使馆,以及中东的军事和国防机构。


赛门铁克的安全研究人员发现了Gallmaker的活动,据悉该组织最近的一次行动发生在2018年6月。


Gallmaker 的惯用作案手法


Gallmaker通过网络钓鱼电子邮件分发恶意Office文档。这些文档试图利用Microsoft Office动态数据交换协议(DDE)来访问受害者的系统。



“当受害者打开诱饵文档时,会出现一个警告要求受害者‘启用内容’。如果用户启用此内容,攻击者就可以使用DDE协议远程执行受害者系统内存中的命令,”赛门铁克研究人员 在报告中称 ,“通过仅在内存中运行命令,攻击者可以避免在磁盘上留下伪像,这一他们的活动就很难被发现。”


该组织利用各种各样的工具,例如混淆的shellcode代码和WindowsRoamingToolsTask(用于安排PowerShell脚本和任务等)。Gallmaker目前在其C2(控制和命令服务器)基础设施上使用三个主要的IP地址,与受感染设备保持通信。


该组织还在完成攻击操作后删除其在受害者计算机上使用的一些黑客工具,目的可能是为了隐藏其活动。


Gallmker 的攻击目标


与其他网络间谍组织一样,Gallmaker似乎正在进行目标极为明确的攻击。它针对的是某个特定的东欧国家在世界各地的大使馆。此外,它还追踪一家国防承包商和一个军事组织——二者都位于中东地区。


“攻击中看到的目标类型确实符合间谍组织的兴趣,如果仅仅为了经济利益,将目标限制在外交、军事和国防人员身上是很奇怪的。尽管东欧和中东之间没有明显的联系,但很明显,Gallmaker是专门针对国防、军事和政府部门的:选定这些目标看起来不太可能是随机或偶然的。”


赛门铁克的高级威胁情报分析师Jon DiMaggio称,“该组织自2017年12月以来大部分时间一直处于活跃状态,2018年第二季度有所增加,2018年4月达到了峰值。”DiMaggio认为,Gallmaker的最终目标似乎是以文件和通信的形式收集目标情报。


赛门铁克的研究人员认为,Gallmaker可能是由国家赞助的网络间谍组织。该组织的突然暴露让人不得不深思,像这样庞大复杂的威胁组织在进行入侵操作时是如何隐藏自身的踪迹的。此外,Gallmaker的存在也给我们提了醒,在网络空间中大量的网络恶意活动很难被发现。