SideCopy组织近期以印度国防部相关文档为诱饵的攻击活动分析
背景
2021年7月,Cisco Talos研究人员已将该活动背后的攻击者作为独立组织进行跟踪,并称其为SideCopy APT组织。报告中披露了该组织多种攻击武器包括CetaRAT、ReverseRAT、MargulasRAT、AllakoreRAT等,以及多款C#插件[1]。
近日,我们在对SideCopy组织进行持续追踪的过程,发现了一些比较有意思的样本。
概述
鱼叉式钓鱼邮件,以压缩包中的lnk文件为攻击入口点;
以无文件的方式在内存中加载执行后续载荷;
最终载荷为Delphi编写的改良开源木马或者是由C++编写的新木马;
诱饵内容均与印度国防部有关。
攻击活动执行流程如下图所示:
样本分析
0x01基本信息
文件名 | Grant-of-Risk-and-Hardship-Allowance-JCOs-OR.zip |
MD5 | 577419F202182F6E933C1CF83EF922EA |
文件大小 | 325484 bytes |
文件类型 | Zip |
对lnk文件进行分析,使用系统的mshta.exe访问C2下载后续载荷执行。
0x02 阶段一
访问lnk中的链接,会跳转到https://kcps.edu.in/css/fonts/files/docs/graentsodocumentso/ganeshostwoso/snbtoolswires.hta下载一段JS代码回来执行。
其主要功能是内存中加载DLL,并通过DLL中的函数解密JS代码中嵌套的数据,从而释放诱饵PDF文件。
解密释放诱饵PDF的函数openthefile
展示的诱饵PDF如图所示:
然后获取杀软信息,与字符串“anvaro=”拼接后以POST方式上传至https://kcps.edu.in/css/fonts/files/avena/。
创建C:\ProgramData\HP目录,访问C2下载数据解密后保存在C:\ProgramData\HP\jquery.hta和C:\ProgramData\HP\jscy.hta文件中并执行。
0x03 阶段二
下载的hta文件与阶段一类似,内存中加载DLL,先使用WMI收集系统中的杀软信息,再将硬编码的数据、杀软信息作为参数调用执行DLL中的SearchProducts函数。
在SearchProducts函数中,先判断比较是何种杀软,以此来决定以何种方式来启动后续载荷。
杀软信息 | |
Kaspersky | Avira |
Quick | Bitdefender |
Avast | WindowsDefender |
执行过程中生成bat文件,其功能为通过注册表为crezly.exe程序添加自启动项。
当杀软为Kaspersky、Avast、Bitdefender、WindowsDefender或者其它时,其恶意组件释放方式与印度杀软Quick时基本相同,不同之处在于会休眠一分钟后直接启动释放的simsre.exe程序,并且注册表添加自启动项的程序也是simsre.exe。
值得一提的是,不是印度杀软Quick时,会在%temp%目录下生成tmplate.txt文件进行日志记录,日志中记录作者为“Mahesh Chand”,该人为印度人,推特上简介自称为前微软区域总监。
AllaKore RAT
文件名 | simsre.exe |
MD5 | 087E366A4BECCBECB7D7CDB5C2F73088 |
文件大小 | 8507904 bytes |
文件类型 | EXE |
键盘记录器
截图
列出文件夹和文件
上传/下载文件
窃取剪贴板数据
更改壁纸
远程控制
DUser.dll
侧加载的DUser.dll实际为loader,加载执行释放的simsre.exe。
溯源与关联
对此次捕获样本攻击手法,代码逻辑层面分析,发现此次捕获的攻击样本与SideCopy组织常用攻击手法,恶意代码基本一致。
通过对本次攻击的初始lnk文件进行关联,我们还发现了另外一个类似的攻击样本。
其以印度国防研究及发展组织(DRDO) 为武装阿里汉特级潜艇而开发的具有核能力的中程潜射弹道导弹(K4导弹)相关文档为诱饵。其诱饵内容如下:
其执行流程与上述分析基本一致,不同的是其最终载荷DUser.dll为C++语言编写的程序,其在Virustotal上的免杀率颇高,其C2为144.91.72.17:8080,并且还携带了PDB路径。
另外扩展分析时,我们还发现了Sidecopy组织近期使用lnk文件进行攻击的大量样本。
同时,在去年早些时候,我们还发现Sidecopy组织以色情图片作为lnk文件图标进行攻击,这一套路可谓屡试不爽。
总结
此次捕获的样本主要针对南亚地区开展攻击活动,国内用户不受其影响。奇安信红雨滴团队提醒广大用户,谨防水坑攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOCs
3E3D3F78A07BAB5A3342E0414E48D787
087E366A4BECCBECB7D7CDB5C2F73088
26E41AF2CA9EA82C244C1AA1EC77654A
FA6C832E22F978B8210C0630DB69E6A2
EFCC2BF765993711CC9E4E86D2EBB876
191C389140293C782D7A2304893151E2
6528A9F0AF30DF7F4211EF8B341ACC2E
0725318B4F5C312EEAF5EC9795A7E919
AB11B91F97D7672DA1C5B42C9ECC6D2E
CBAA7FC86E4F1A30A155F60323FDB72A
036DA574B5967C71951F4E14D000398C
2E19B7A2BBDC8082024D259E27E86911
087E366A4BECCBECB7D7CDB5C2F73088
3F22B345ED1F9E244DB034F9AF49E707
EDE163036A1754C71D6FF11B266B91CE
5BE4E4884F4E021BA975CBED0A7E9C25
F7D1E515CB84F6DC2D0349AB93BD4E05
63789CACECC1ABD9669344516ADB4120
9B06472E5ACF2311D0AF62D638A8E51A
D129B81C1D40C34AC628835E144A4740
BA2ADA448B8471789C0EF3B3345597FE
6B3F45F7A6758D198A317DE43D51E669
A65EB385C9019C712EA513E4C5C25152
1A1C8C0F5CAFB7DF661086BCB804154C
0C44DA9103FB26DAFC710E83E95AD1C2
61427F7A200D7A21C1CF38FFE2FD4EE5
441F580A36757CF20493029B055F581E
URL
https://kcps[.]edu.in/css/fonts/files/docs/graentsodocumentso/ganeshostwoso/snbtoolswires.htahttps://kcps[.]edu.in/css/fonts/files/avena/
https://kcps[.]edu.in/css/fonts/files/ntsfonts/
https://kcps[.]edu.in/css/fonts/files/jquery/
https://www[.]cornerstonebeverly.org/js/files/docufentososo/doecumentosoneso/pantomime.hta
https://cornerstonebeverly[.]org/js/files/ntfonts/avena/
https://cornerstonebeverly[.]org/js/files/ntfonts/
https://hpuniversity[.]in/uploads/files/women/start
https://hpuniversity[.]in/uploadsssss/files/file2/file2.zip
https://hpuniversity[.]in/uploadsssss/files/file3/file3.zip
https://hpuniversity[.]in/uploadsssss/files/women/Women.zip
https://hpuniversity[.]in/uploadsssss/files/survey/Survry.zip
http://hpuniversity[.]in/filessss/software/SoftWare.zip
https://hpuniversity[.]in/documents/women/Women.zip
https://hpuniversity[.]in/ documents /assignment1/ assignment1.zip
https://hpuniversity[.]in/filessss/principles/Principles.zip
https://hpuniversity[.]in/documents/survey/start/2.hta
IP
89.117.63.146:9921185.229.119.60:9134
144.91.72.17:8080
参考链接
[2]. https://ti.qianxin.com/blog/articles/Sidecopy-dual-platform-weapon/
点击阅读原文至ALPHA 6.0
即刻助力威胁研判