背景
2020年9月,Quick Heal披露了一起针对印度国防军和武装部队陆军人员的窃密行动并将其命名为Operation SideCopy。该行动始于2019年初,其攻击者主要以复制Sidewinder APT组织的TTPs进行攻击,故被命名为Operation SideCopy。
2021年7月,Cisco Talos研究人员已将该活动背后的攻击者作为独立组织进行跟踪,并称其为SideCopy APT组织。报告中披露了该组织多种攻击武器包括CetaRAT、ReverseRAT、MargulasRAT、AllakoreRAT等,以及多款C#插件[1]。
近日,我们在对SideCopy组织进行持续追踪的过程,发现了一些比较有意思的样本。
概述
在此攻击活动中,SideCopy的感染链与之前的攻击活动保持相对一致,使用恶意LNK文件作为入口点,然后是一个复杂的感染链,涉及多层文件嵌套以传递最终的有效负载。经研判,本次攻击活动的特点如下:
鱼叉式钓鱼邮件,以压缩包中的lnk文件为攻击入口点;
以无文件的方式在内存中加载执行后续载荷;
最终载荷为Delphi编写的改良开源木马或者是由C++编写的新木马;
诱饵内容均与印度国防部有关。
攻击活动执行流程如下图所示:
样本分析
0x01基本信息
本次捕获的样本为一压缩包,其基本信息如下:
文件名 | Grant-of-Risk-and-Hardship-Allowance-JCOs-OR.zip |
MD5 | 577419F202182F6E933C1CF83EF922EA |
文件大小 | 325484 bytes |
文件类型 | Zip |
解压后包含隐藏文件夹Adobe和诱饵lnk文件,lnk文件名翻译为“风险及困难津贴的发放”。
对lnk文件进行分析,使用系统的mshta.exe访问C2下载后续载荷执行。
0x02 阶段一
访问lnk中的链接,会跳转到https://kcps.edu.in/css/fonts/files/docs/graentsodocumentso/ganeshostwoso/snbtoolswires.hta下载一段JS代码回来执行。
其主要功能是内存中加载DLL,并通过DLL中的函数解密JS代码中嵌套的数据,从而释放诱饵PDF文件。
解密释放诱饵PDF的函数openthefile
展示的诱饵PDF如图所示:
然后获取杀软信息,与字符串“anvaro=”拼接后以POST方式上传至https://kcps.edu.in/css/fonts/files/avena/。
创建C:\\ProgramData\\HP目录,访问C2下载数据解密后保存在C:\\ProgramData\\HP\\jquery.hta和C:\\ProgramData\\HP\\jscy.hta文件中并执行。
0x03 阶段二
下载的hta文件与阶段一类似,内存中加载DLL,先使用WMI收集系统中的杀软信息,再将硬编码的数据、杀软信息作为参数调用执行DLL中的SearchProducts函数。
在SearchProducts函数中,先判断比较是何种杀软,以此来决定以何种方式来启动后续载荷。
杀软信息 | |
Kaspersky | Avira |
Quick | Bitdefender |
Avast | WindowsDefender |
当存在印度杀软Quick时,首先将系统Credwiz.exe文件复制到C:\\Users\\Public\\smitpr目录下,并重命名为crezly.exe,随后解密dll数据,并以DUser.dll命名在C:\\Users\\Public\\ smitpr目录下。然后解密exe数据,在smitpr目录下释放程序simsre.exe,最后休眠30秒,调用释放的crezly.exe程序侧加载恶意DUser.dll。
执行过程中生成bat文件,其功能为通过注册表为crezly.exe程序添加自启动项。
当杀软为Kaspersky、Avast、Bitdefender、WindowsDefender或者其它时,其恶意组件释放方式与印度杀软Quick时基本相同,不同之处在于会休眠一分钟后直接启动释放的simsre.exe程序,并且注册表添加自启动项的程序也是simsre.exe。
值得一提的是,不是印度杀软Quick时,会在%temp%目录下生成tmplate.txt文件进行日志记录,日志中记录作者为“Mahesh Chand”,该人为印度人,推特上简介自称为前微软区域总监。
AllaKore RAT
释放的simsre.exe为SideCopy常用的AllaKore RAT(又名Cyrus),源代码在github上开源,经SideCopy组织更改后作为自己的武器库使用,其文件信息如下。
文件名 | simsre.exe |
MD5 | 087E366A4BECCBECB7D7CDB5C2F73088 |
文件大小 | 8507904 bytes |
文件类型 | EXE |
捕获的Allakore RAT 访问的IP地址为185.229.119.60,端口为9134,其主要包含以下几种功能:
键盘记录器
截图
列出文件夹和文件
上传/下载文件
窃取剪贴板数据
更改壁纸
远程控制
DUser.dll
侧加载的DUser.dll实际为loader,加载执行释放的simsre.exe。
溯源与关联
对样本进行分析时,我们发现此次攻击主要针对印度地区,一是诱饵内容主要以印度国防部相关内容为诱饵,二是解密时编码方式选择的是默认方式,只有当前电脑的系统区域设置为英语(印度)时,才能正确解密诱饵内容和部分后续载荷。
对此次捕获样本攻击手法,代码逻辑层面分析,发现此次捕获的攻击样本与SideCopy组织常用攻击手法,恶意代码基本一致。
通过对本次攻击的初始lnk文件进行关联,我们还发现了另外一个类似的攻击样本。
其以印度国防研究及发展组织(DRDO) 为武装阿里汉特级潜艇而开发的具有核能力的中程潜射弹道导弹(K4导弹)相关文档为诱饵。其诱饵内容如下:
其执行流程与上述分析基本一致,不同的是其最终载荷DUser.dll为C++语言编写的程序,其在Virustotal上的免杀率颇高,其C2为144.91.72.17:8080,并且还携带了PDB路径。
另外扩展分析时,我们还发现了Sidecopy组织近期使用lnk文件进行攻击的大量样本。
同时,在去年早些时候,我们还发现Sidecopy组织以色情图片作为lnk文件图标进行攻击,这一套路可谓屡试不爽。
总结
SideCopy组织主要复制Sidewinder APT组织的TTPs进行攻击,故被命名为SideCopy,其近年来才活跃在大众视野范围内,攻击手法及武器代码方面与同地域组织相比都较为青涩,且大多使用网络上开源的代码及工具。更重要的是,早些时候我们还披露过其对Linux,Mac OS等多平台的攻击[2],奇安信威胁情报中心会对其进行长期的溯源和跟进,及时发现安全威胁并快速响应处置。
此次捕获的样本主要针对南亚地区开展攻击活动,国内用户不受其影响。奇安信红雨滴团队提醒广大用户,谨防水坑攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOCs
MD5
577419F202182F6E933C1CF83EF922EA
3E3D3F78A07BAB5A3342E0414E48D787
087E366A4BECCBECB7D7CDB5C2F73088
26E41AF2CA9EA82C244C1AA1EC77654A
FA6C832E22F978B8210C0630DB69E6A2
EFCC2BF765993711CC9E4E86D2EBB876
191C389140293C782D7A2304893151E2
6528A9F0AF30DF7F4211EF8B341ACC2E
0725318B4F5C312EEAF5EC9795A7E919
AB11B91F97D7672DA1C5B42C9ECC6D2E
CBAA7FC86E4F1A30A155F60323FDB72A
036DA574B5967C71951F4E14D000398C
2E19B7A2BBDC8082024D259E27E86911
087E366A4BECCBECB7D7CDB5C2F73088
3F22B345ED1F9E244DB034F9AF49E707
EDE163036A1754C71D6FF11B266B91CE
5BE4E4884F4E021BA975CBED0A7E9C25
F7D1E515CB84F6DC2D0349AB93BD4E05
63789CACECC1ABD9669344516ADB4120
9B06472E5ACF2311D0AF62D638A8E51A
D129B81C1D40C34AC628835E144A4740
BA2ADA448B8471789C0EF3B3345597FE
6B3F45F7A6758D198A317DE43D51E669
A65EB385C9019C712EA513E4C5C25152
1A1C8C0F5CAFB7DF661086BCB804154C
0C44DA9103FB26DAFC710E83E95AD1C2
61427F7A200D7A21C1CF38FFE2FD4EE5
441F580A36757CF20493029B055F581E
URL
https://kcps[.]edu.in/css/fonts/files/docs/graentsodocumentso/ganeshostwoso/snbtoolswires.hta
https://kcps[.]edu.in/css/fonts/files/avena/
https://kcps[.]edu.in/css/fonts/files/ntsfonts/
https://kcps[.]edu.in/css/fonts/files/jquery/
https://www[.]cornerstonebeverly.org/js/files/docufentososo/doecumentosoneso/pantomime.hta
https://cornerstonebeverly[.]org/js/files/ntfonts/avena/
https://cornerstonebeverly[.]org/js/files/ntfonts/
https://hpuniversity[.]in/uploads/files/women/start
https://hpuniversity[.]in/uploadsssss/files/file2/file2.zip
https://hpuniversity[.]in/uploadsssss/files/file3/file3.zip
https://hpuniversity[.]in/uploadsssss/files/women/Women.zip
https://hpuniversity[.]in/uploadsssss/files/survey/Survry.zip
http://hpuniversity[.]in/filessss/software/SoftWare.zip
https://hpuniversity[.]in/documents/women/Women.zip
https://hpuniversity[.]in/ documents /assignment1/ assignment1.zip
https://hpuniversity[.]in/filessss/principles/Principles.zip
https://hpuniversity[.]in/documents/survey/start/2.hta
IP
89.117.63.146:9921
185.229.119.60:9134
144.91.72.17:8080
参考链接
[1]. https://blog.talosintelligence.com/2021/07/sidecopy.html
[2]. https://ti.qianxin.com/blog/articles/Sidecopy-dual-platform-weapon/
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。