賽門鐵克最近新發現了一個以政府、軍事、國防部門及東歐國家的海外使館為攻擊目標的APT組織，他們在攻擊中有意隱藏身份，使用現有的攻擊策略和公開的攻擊工具，使得這一系列行為看起來與間諜活動性質極其類似。

該組織被命名為Gallmaker，至少自2017年12月開始運營，最近一次的活動在2018年6月。

戰術和工具

Gallmaker的攻擊方法最具特色之處是他們在攻擊操作過程中不適用惡意軟體，賽門鐵克觀察到的攻擊活動僅使用LotL策略和公開的黑客工具來執行。他們採取了一系列步驟來訪問受害者的裝置，隨後部署了幾種不同的攻擊工具，如下所示:

1.該組織向受害者傳送惡意的辦公室誘餌檔案，傳送方式很可能是魚叉式網路釣魚電子郵件。

2.這些誘餌檔案使用帶有政府、軍事和外交主題的標題，檔名用英語或西里爾語書寫。檔案本身不是很複雜，但感染的證據表明它們是有效的。攻擊者使用了會引發攻擊目標閱讀興趣的檔名，例如:

• bg embassy list.docx
• Navy.ro members list.docx
• Документи виза Д - кореспонденция.docx

3.這些誘餌文件嘗試利用Microsoft Office動態資料交換（DDE）協議來訪問受害計算機。當受害者開啟誘餌檔案時，會出現一個警告，要求受害者“啟用內容” （參見圖1）。如果使用者啟用此內容，則攻擊者可以使用DDE協議遠端執行受害者系統記憶體中的命令。通過僅在記憶體中執行，攻擊者可以避免在磁碟上留下痕跡，這使得他們的活動難以檢測。

4.一旦Gallmaker攻擊者獲得對裝置的訪問許可權，他們就會執行各種程式，包括：

• WindowsRoamingToolsTask:用於排程PowerShell指令碼和任務。
• Metasploit的“reverse_tcp”負載:攻擊者使用通過PowerShell執行的模糊的shellcode下載這個反向shell。
• WinZip控制檯的合法版本:將建立一個任務來執行命令並與命令與控制(C&C)伺服器通訊。它也可能用於存檔資料或者過濾新。
• 在GitHub上可公開使用的Rex PowerShell庫也在受害裝置上出現。這個庫幫助建立和操作PowerShell指令碼，以便於Metasploit漏洞一起執行。

Gallmaker為其C&C基礎設施使用三個主要IP地址與受感染的裝置通訊。也有證據表明，一旦它完成任務，就會從受損裝置上刪除一些工具，以隱藏其活動的痕跡。

圖1.誘餌文件示例

此外，Gallmaker利用了DDE協議功能，儘管微軟官方已經禁用，但受害者並沒有安裝相關補丁（或進行升級）。

目標和時間表

Gallmaker的活動目標似乎具有高度針對性，受害者都與政府，軍隊或國防部門有關，攻擊目標還包括東歐國家的大使館，儘管它們分佈於全球不同地區，但隸屬國家均一致。此外還有中東國防承包商和相關軍事組織，不過東歐和中東目標之間沒有明顯的聯絡。但目標特徵共性已經較為明顯，顯然攻擊事件並非偶然。

從賽門鐵克跟蹤觀察它起，Gallmaker的活動總體表現還算穩定，變化趨勢見下圖。

圖2.Gallmaker 2017年12月至2018年6月活動趨勢