SideCopy伪装注册邀请表格进行攻击
SideCopy组织从2020年9月被安全厂商Quick Heal发布报告披露了以来一直持续保持活跃,当时其针对印度国防部门发起攻击,攻击最早可以回溯到2019年,因为攻击手法模仿APT-C-24(响尾蛇)组织,所以其攻击行动被命名为SideCopy。
SideCopy主要针对印度的国防、军事进行窃密活动,其在早期的攻击活动主要通过模仿响尾蛇组织的攻击手法,并以此迷惑安全研究人员。
其一直被怀疑是APT-C-56(透明部落)的下属组织,在今年年初,透明部落与SideCopy被发现利用相同的基础设施并使用相同主题针对相似目标行动。
360高级威胁研究院监测到了SideCopy在早期伪装注册邀请表格的攻击活动样本。我们推测是之前行动未被发现的样本,样本利用诱饵文档最终释放木马。
一、攻击活动分析
1.攻击流程分析
利用伪装邀请表格的诱饵文档的攻击活动通过dropper释放credwiz后侧加载同一文件夹下的duser对中招用户持续监控。
2.载荷投递分析
2.1伪装文档
我们捕获的样本名字是rf.rtf,是文档标题Registration Form的缩写,文档内容是一个注册邀请表格,要求用户填写姓名、邮箱。
打开文档后,其利用CVE-2017-11882漏洞,启动公式编辑器进程EQNEDT32.EXE释放WORDICON.exe文件,释放DUser.dll和credwiz.exe,最后与C&C链接并释放木马。
2.2 Dropper文件Wordicon.exe
释放到C:\Windows\Tasks的PE文件的主要功能是释放credwiz和duser文件。首先遍历进程判断是否存在这两个文件。
判断Git目录下是否已经存在这两个文件,如果有则删除,通过这个条件判断,我们推断恶意样本至少还有一个版本会释放到Git目录。
随后释放EntryFile的BAT文件并运行,该文件主要功能是将credwiz文件伪装注册为System Update Schedule计划任务并持久驻留。
2.3 白文件credwiz.exe
Credwiz.exe是一个合法的Windows文件,被拷贝到C:\ProgramData\MicrosoftSDK后当Credwiz被执行时,它会以DLL Side-loading方法加载在同一文件夹中的恶意duser.dll文件。
2.4 Duser.dll
Duser的主要功能是网络通信,首先初始化网络连接。
随后删除之前释放的恶意样本,减少木马被发现的可能。
最后循环与网络通信,虽然C&C已经失效,我们无法继续验证后续攻击组件,但是在之前被发现的攻击活动duser并不承担控制木马工作,我们推测其会继续接收RAT并进行数据传输。
二、归属研判
通过C&C以及攻击流程关联将这次的行动样本归属于SideCopy组织。
1.C&C关联
本次攻击活动中duser所使用的C&C在之前的攻击活动中已经被披露过。
2.攻击手段流程、组件特征关联
通过credwiz旁侧加载duser并进行攻击的手段是SideCopy组件常用的。
一般SideCopy组织早期多使用C++、delphi编写组件,后期有部分用C#编写,与之相反,响尾蛇组织的攻击木马一般采用C#编写。我们此次捕获的wordicon和duser是用delphi和C++编写。
APT组织之间相互伪装、攻击的事件时有发生,主要是为了迷惑安全厂商分析人员,达到避免暴露自身的目的。SideCopy组织曾被发现多次模仿响尾蛇的攻击方式,是否印度组织也会模仿透明部落进行攻击活动?我们也将持续关注。
60C75258F301C14D45D32D153812EA97
8c774d546aa3faf98769e5599c15d3f8
A325AB168BB6797EF00137241155D07C
ed598487bdf0a8fa9dcc3f8395e84e1a
144.91.65.100:80
144.91.65.100:6102
360高级威胁研究院