背景

2020年9月,Quick Heal披露了一起针对印度国防军和武装部队陆军人员的窃密行动并将其命名为Operation SideCopy。该行动始于2019年初,其攻击者主要以复制Sidewinder APT组织的TTPs进行攻击,故被命名为Operation SideCopy。

2021年7月,Cisco Talos研究人员已将该活动背后的攻击者作为独立组织进行跟踪,并称其为SideCopy APT组织。报告中披露了该组织多种攻击武器包括CetaRAT、ReverseRAT、MargulasRAT、AllakoreRAT等,以及多款C#插件[1]

近日,我们在对SideCopy组织进行持续追踪的过程,发现了一些比较有意思的样本。

概述

在此攻击活动中,SideCopy的感染链与之前的攻击活动保持相对一致,使用恶意LNK文件作为入口点,然后是一个复杂的感染链,涉及多层文件嵌套以传递最终的有效负载。经研判,本次攻击活动的特点如下:

  1. 鱼叉式钓鱼邮件,以压缩包中的lnk文件为攻击入口点;

  2. 以无文件的方式在内存中加载执行后续载荷;

  3. 最终载荷为Delphi编写的改良开源木马或者是由C++编写的新木马;

  4. 诱饵内容均与印度国防部有关。

攻击活动执行流程如下图所示:

样本分析

0x01基本信息

本次捕获的样本为一压缩包,其基本信息如下:

文件名

Grant-of-Risk-and-Hardship-Allowance-JCOs-OR.zip

MD5

577419F202182F6E933C1CF83EF922EA

文件大小

325484 bytes

文件类型

Zip

解压后包含隐藏文件夹Adobe和诱饵lnk文件,lnk文件名翻译为“风险及困难津贴的发放”。

对lnk文件进行分析,使用系统的mshta.exe访问C2下载后续载荷执行。

0x02 阶段一

访问lnk中的链接,会跳转到https://kcps.edu.in/css/fonts/files/docs/graentsodocumentso/ganeshostwoso/snbtoolswires.hta下载一段JS代码回来执行。

其主要功能是内存中加载DLL,并通过DLL中的函数解密JS代码中嵌套的数据,从而释放诱饵PDF文件。

解密释放诱饵PDF的函数openthefile

展示的诱饵PDF如图所示:

然后获取杀软信息,与字符串“anvaro=”拼接后以POST方式上传至https://kcps.edu.in/css/fonts/files/avena/。

创建C:\\ProgramData\\HP目录,访问C2下载数据解密后保存在C:\\ProgramData\\HP\\jquery.hta和C:\\ProgramData\\HP\\jscy.hta文件中并执行。

0x03 阶段二

下载的hta文件与阶段一类似,内存中加载DLL,先使用WMI收集系统中的杀软信息,再将硬编码的数据、杀软信息作为参数调用执行DLL中的SearchProducts函数。

在SearchProducts函数中,先判断比较是何种杀软,以此来决定以何种方式来启动后续载荷。

杀软信息

Kaspersky

Avira

Quick

Bitdefender

Avast

WindowsDefender

当存在印度杀软Quick时,首先将系统Credwiz.exe文件复制到C:\\Users\\Public\\smitpr目录下,并重命名为crezly.exe,随后解密dll数据,并以DUser.dll命名在C:\\Users\\Public\\ smitpr目录下。然后解密exe数据,在smitpr目录下释放程序simsre.exe,最后休眠30秒,调用释放的crezly.exe程序侧加载恶意DUser.dll。

执行过程中生成bat文件,其功能为通过注册表为crezly.exe程序添加自启动项。

当杀软为Kaspersky、Avast、Bitdefender、WindowsDefender或者其它时,其恶意组件释放方式与印度杀软Quick时基本相同,不同之处在于会休眠一分钟后直接启动释放的simsre.exe程序,并且注册表添加自启动项的程序也是simsre.exe。

值得一提的是,不是印度杀软Quick时,会在%temp%目录下生成tmplate.txt文件进行日志记录,日志中记录作者为“Mahesh Chand”,该人为印度人,推特上简介自称为前微软区域总监。

AllaKore RAT

释放的simsre.exe为SideCopy常用的AllaKore RAT(又名Cyrus),源代码在github上开源,经SideCopy组织更改后作为自己的武器库使用,其文件信息如下。

文件名

simsre.exe

MD5

087E366A4BECCBECB7D7CDB5C2F73088

文件大小

8507904 bytes

文件类型

EXE

捕获的Allakore RAT 访问的IP地址为185.229.119.60,端口为9134,其主要包含以下几种功能:

  • 键盘记录器

  • 截图

  • 列出文件夹和文件

  • 上传/下载文件

  • 窃取剪贴板数据

  • 更改壁纸

  • 远程控制

DUser.dll

侧加载的DUser.dll实际为loader,加载执行释放的simsre.exe。

溯源与关联

对样本进行分析时,我们发现此次攻击主要针对印度地区,一是诱饵内容主要以印度国防部相关内容为诱饵,二是解密时编码方式选择的是默认方式,只有当前电脑的系统区域设置为英语(印度)时,才能正确解密诱饵内容和部分后续载荷。

对此次捕获样本攻击手法,代码逻辑层面分析,发现此次捕获的攻击样本与SideCopy组织常用攻击手法,恶意代码基本一致。

通过对本次攻击的初始lnk文件进行关联,我们还发现了另外一个类似的攻击样本。

其以印度国防研究及发展组织(DRDO) 为武装阿里汉特级潜艇而开发的具有核能力的中程潜射弹道导弹(K4导弹)相关文档为诱饵。其诱饵内容如下:

其执行流程与上述分析基本一致,不同的是其最终载荷DUser.dll为C++语言编写的程序,其在Virustotal上的免杀率颇高,其C2为144.91.72.17:8080,并且还携带了PDB路径。

另外扩展分析时,我们还发现了Sidecopy组织近期使用lnk文件进行攻击的大量样本。

同时,在去年早些时候,我们还发现Sidecopy组织以色情图片作为lnk文件图标进行攻击,这一套路可谓屡试不爽。

总结

SideCopy组织主要复制Sidewinder APT组织的TTPs进行攻击,故被命名为SideCopy,其近年来才活跃在大众视野范围内,攻击手法及武器代码方面与同地域组织相比都较为青涩,且大多使用网络上开源的代码及工具。更重要的是,早些时候我们还披露过其对Linux,Mac OS等多平台的攻击[2],奇安信威胁情报中心会对其进行长期的溯源和跟进,及时发现安全威胁并快速响应处置。

此次捕获的样本主要针对南亚地区开展攻击活动,国内用户不受其影响。奇安信红雨滴团队提醒广大用户,谨防水坑攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

IOCs

MD5

577419F202182F6E933C1CF83EF922EA

3E3D3F78A07BAB5A3342E0414E48D787

087E366A4BECCBECB7D7CDB5C2F73088

26E41AF2CA9EA82C244C1AA1EC77654A

FA6C832E22F978B8210C0630DB69E6A2

EFCC2BF765993711CC9E4E86D2EBB876

191C389140293C782D7A2304893151E2

6528A9F0AF30DF7F4211EF8B341ACC2E

0725318B4F5C312EEAF5EC9795A7E919

AB11B91F97D7672DA1C5B42C9ECC6D2E

CBAA7FC86E4F1A30A155F60323FDB72A

036DA574B5967C71951F4E14D000398C

2E19B7A2BBDC8082024D259E27E86911

087E366A4BECCBECB7D7CDB5C2F73088

3F22B345ED1F9E244DB034F9AF49E707

EDE163036A1754C71D6FF11B266B91CE

5BE4E4884F4E021BA975CBED0A7E9C25

F7D1E515CB84F6DC2D0349AB93BD4E05

63789CACECC1ABD9669344516ADB4120

9B06472E5ACF2311D0AF62D638A8E51A

D129B81C1D40C34AC628835E144A4740

BA2ADA448B8471789C0EF3B3345597FE

6B3F45F7A6758D198A317DE43D51E669

A65EB385C9019C712EA513E4C5C25152

1A1C8C0F5CAFB7DF661086BCB804154C

0C44DA9103FB26DAFC710E83E95AD1C2

61427F7A200D7A21C1CF38FFE2FD4EE5

441F580A36757CF20493029B055F581E

URL

https://kcps[.]edu.in/css/fonts/files/docs/graentsodocumentso/ganeshostwoso/snbtoolswires.hta

https://kcps[.]edu.in/css/fonts/files/avena/

https://kcps[.]edu.in/css/fonts/files/ntsfonts/

https://kcps[.]edu.in/css/fonts/files/jquery/

https://www[.]cornerstonebeverly.org/js/files/docufentososo/doecumentosoneso/pantomime.hta

https://cornerstonebeverly[.]org/js/files/ntfonts/avena/

https://cornerstonebeverly[.]org/js/files/ntfonts/

https://hpuniversity[.]in/uploads/files/women/start

https://hpuniversity[.]in/uploadsssss/files/file2/file2.zip

https://hpuniversity[.]in/uploadsssss/files/file3/file3.zip

https://hpuniversity[.]in/uploadsssss/files/women/Women.zip

https://hpuniversity[.]in/uploadsssss/files/survey/Survry.zip

http://hpuniversity[.]in/filessss/software/SoftWare.zip

https://hpuniversity[.]in/documents/women/Women.zip

https://hpuniversity[.]in/ documents /assignment1/ assignment1.zip

https://hpuniversity[.]in/filessss/principles/Principles.zip

https://hpuniversity[.]in/documents/survey/start/2.hta

IP

89.117.63.146:9921

185.229.119.60:9134

144.91.72.17:8080

参考链接

[1]. https://blog.talosintelligence.com/2021/07/sidecopy.html

[2]. https://ti.qianxin.com/blog/articles/Sidecopy-dual-platform-weapon/

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。