SideCopy组织针对印度政府部门的攻击活动分析
SideCopy组织自2020年被披露以来长期处于活跃之中,并主要针对印度国防、外交等部门持续发动网络攻击。近期,360高级威胁研究院发现了该组织针对印度政府部门的最新攻击行动,攻击者利用钓鱼邮件诱导下载含有恶意LNK的ZIP压缩文件,该LNK文件伪装成PDF或DOCX文件,受害者点击执行后会下载恶意代码从而开启一段复杂多阶段的攻击链,最终释放AllaKoreRAT或ReverseRAT远控组件,从而完成窃密活动。
一、攻击活动分析
1.攻击流程分析
在本轮攻击中,SideCopy组织一如既往的使用恶意压缩包作为攻击入口,其压缩包中包含恶意LNK,并且使用了各种各样的诱导文件名,如“Violance Against Women.docx.lnk”,样本运行后会释放伪装内容并加载其恶意代码,整个攻击流程如下图所示:
攻击者首先诱导用户下载恶意压缩包,当受害者点击恶意压缩包中的lnk文件时,则远程下载执行hta文件。该hta文件主要功能是反射加载携带参数的preBotHta.dll文件,DLL加载后会依次释放诱饵文档、config.bat、system.hta等文件,其中system.hta文件会进一步加载ReverseRAT组件,从而实现窃密行为。
特别说明的是,在我们捕获的攻击样本中,也有通过下载的hta文件执行白利用程序,并最终加载AllaKoreRAT载荷的样本,因此可以看出该组织攻击武器多样,并且交替使用。
2.恶意载荷分析
Sidecopy组织在本轮攻击中使用了大量恶意lnk文件进行攻击,其恶意行为基本相同,下表是其中部分lnk攻击文件基本信息。
MD5 | 文件名 |
3f22b345ed1f9e244db034f9af49e707 | Violance Against Women.docx.lnk |
5be4e4884f4e021ba975cbed0a7e9c25 | Management Principles and Practices.docx.lnk |
f7d1e515cb84f6dc2d0349ab93bd4e05 | Types of Software.docx.lnk |
1a1c8c0f5cafb7df661086bcb804154c | New Document.docx.lnk |
441f580a36757cf20493029b055f581e | Survey.docx.lnk.lnk |
a65eb385c9019c712ea513e4c5c25152 | Information systems.docx.lnk |
以其中之一为例(md5:441f580a36757cf20493029b055f581e)进行分析说明,该lnk文件从“https://hpuniversity.in/documents/survey/start”下载hta文件并执行。其hta文件功能主要反射加载preBotHta.dll,并将诱饵文件数据和诱饵文件名“Survey.docx”作为参数传入。
创建C:\\Windows\\Tasks\\目录;
在C:\\Windows\\Tasks\\目录下释放system.hta文件; 在系统启动目录StartUp下创建快捷文件System File.lnk,其参数为“/c start /b C:\Windows\Tasks\config.bat”; 休眠2秒,在C:\\Windows\\Tasks\\目录下释放file.jpg,并改名为config.bat。该bat的功能就是利用mshta启动释放的systm.hta文件。
先打开诱饵文件;
创建C:\\Windows\\Tasks\\目录; 在该目录下释放adding.bat文件,内容为“REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "VMs" /t REG_SZ /F /D "C:\Windows\Tasks\config.bat",隐藏执行后删除该批处理文件; 释放system.hta和config.bat; 最后执行system.hta。
system.hta的功能为反射加载第二层的preBotHta.dll,该dll实际为ReverseRAT,执行时先向地址185.136.161.129:4987发起连接,并将本地IPv4地址、用户名、计算机名和操作系统版本信息采用AES加密发送到服务器,等待服务器返回数据后利用AES解密数据并解析指令进而执行后续操作。
指令 | 描述 |
Disconnected | 关闭连接 |
SystemInformation | 获取系统信息 |
pkill | 终止进程 |
ProcessManager | 获取进程列表 |
Software | 获取安装软件列表 |
Passwords | 获取Firefox和Chrome浏览器存储的密码 |
RD | 屏幕截图 |
GetPcBounds | 获取屏幕分辨率 |
SetCurPos | 移动鼠标 |
GetHostsFile | 获取hosts文件内容 |
SaveHostsFile | 向hosts文件写入数据 |
GetCPText | 获取剪切板数据 |
SaveCPText | 向剪切板写入数据 |
Shell | 命令执行 |
ListDrives | 获取磁盘信息 |
ListFiles | 查看文件 |
mkdir | 创建目录 |
rmdir | 删除目录 |
rnfolder | 重命名文件夹 |
mvdir | 移动目录 |
rmfile | 删除文件 |
rnfile | 重命名文件 |
sharefile | 文件共享 |
run | 文件执行 |
FileUpload | 加密上传 |
需要说明的是,这次攻击过程中,SideCopy组织在ReverseRAT载荷中采用了AES加密方式而不是之前的RC4加密算法,并且命令也从最初的10多个增加到现在的25个,由此可以看出 SideCopy 的活动一直在持续,并不断进化恶意代码的功能,保持对其武器库的更新。
二、关联分析
在本轮攻击稍早时期,我们也发现了SideCopy组织利用工作津贴为诱饵针对印度国防部的攻击行动,其部分样本如下所示。
MD5 | 577419f202182f6e933c1cf83ef922ea |
文件大小 | 317.86 KB (325484)字节 |
此类样本执行流程与前面提到的样本有少部分差异,样本在执行过程中会运行白利用程序,并且最终加载AllaKoreRAT组件,其中具体执行细节这里不再展开描述。
三、归属研判
本次攻击流程与SideCopy组织的以往攻击流程呈现出高度一致性,都是以zip文件为入口诱导点击恶意的lnk文件,从而远程加载hta文件,该脚本无文件反射加载dll,然后通过多层加载,最终执行RAT。 样本执行过程中针对杀毒软件执行不同的策略,这与以前捕获的SideCopy组织样本类似。 ReverseRAT组件为该组织开发的专属木马,AllaKoreRAT组件也多次用于SideCopy攻击行动中。此外,受害者符合SideCopy组织攻击目标。 综上,我们将其归纳到SideCopy组织。
SideCopy组织近年来攻击活动频繁,其攻击武器涵盖了多种语言,如C#、Delphi、GoLang,攻击组件也变化多样,如ReverseRAT AllaKoreRAT、SparkRAT。从本次攻击活动,可以看出该组织在对抗各大杀软厂商上招数频出,以求更好的完成恶意功能,并且ReverseRAT采用了强度更高的AES加密方式而不是之前RC4加密算法,说明该组织在恶意代码的功能和形态上持续进化。
此外,本文披露的相关恶意代码、C&C只是Sidecopy组织部分攻击过程中使用的最新武器,后期我们也将持续关注该组织的攻击活动。
MD5:
577419f202182f6e933c1cf83ef922ea
3e3d3f78a07bab5a3342e0414e48d787
30a179ff4d4bd14413e1f8e0fc6bafd1
191c389140293c782d7a2304893151e2
26e41af2ca9ea82c244c1aa1ec77654a
087e366a4beccbecb7d7cdb5c2f73088
09d448bb918c17154692f505b75a8c40
b0a925aa9c8264323456d7a20bb649ea
6002ea23a5b8941f2a008530bac2ab31
8e7eb1053e53138f5111edab50862995
64bccf6da9ec7a3e045716e98090c68a
81fe8a9c9f529d932aa85508d9299c1c
b8ea9e4853ecf9f87f0790d645901ce5
dd5ca7eb6d3bdbe95f4bcb809274ed41
3f88ca9fd51e43f50e48e06f0663bf80
6cf4c31c22359355c57cb6a28826cfe2
2ba145ef5e177543907b4f4499a1531f
65360a75a272f42fdbabfefd6c8e01b2
ac92a32aee15421ab9e953b1836a691b
000b5b74bfb27da040e9ad219dfa7b17
d129b81c1d40c34ac628835e144a4740
63789cacecc1abd9669344516adb4120
9b06472e5acf2311d0af62d638a8e51a
6b3f45f7a6758d198a317de43d51e669
a65eb385c9019c712ea513e4c5c25152
ba2ada448b8471789c0ef3b3345597fe
1a1c8c0f5cafb7df661086bcb804154c
f7d1e515cb84f6dc2d0349ab93bd4e05
0c44da9103fb26dafc710e83e95ad1c2
3f22b345ed1f9e244db034f9af49e707
ede163036a1754c71d6ff11b266b91ce
441f580a36757cf20493029b055f581e
5be4e4884f4e021ba975cbed0a7e9c25
6c58d5dd5b61a725d6fb15bef97491d6
c89277ff88c8ecd76b03edeb3307b89e
a65eb385c9019c712ea513e4c5c25152
b25e86a37878cf13d0eca0635051ff2f
https://hpuniversity[.]in/files/software/star
https://kcps.edu[.]in/css/fonts/files/docs/graentsodocumentso/ganeshostwoso
89.117.63[.]146:9921
185.229.119[.]60:9134
185.136.161[.]129:4987
360高级威胁研究院