一、团伙背景
2020年9月,Quick Heal披露了一起针对印度国防军和武装部队陆军人员的窃密行动并将其命名为Operation Sidecopy。此次行动始于2019年初,由于攻击者主要以复制Sidewinder APT组织的TTPs进行攻击,而被命名为Operation Sidecopy。
2021年7月,Cisco Talos研究人员已将该活动背后的攻击者作为独立组织进行跟踪,并称其为Sidecopy APT组织。报告中披露了该组织多种攻击武器包括CetaRAT、ReverseRAT、MargulasRAT、AllakoreRAT等,以及多款C#插件[1]。
Sidecopy主要以作为电子邮件附件的ZIP压缩包所包含LNK文件或DOC文件分发恶意软件。Sidecopy组织主要对印度国防军和武装部人员进行大量的攻击,对印度政府和军事人员的进行情报收集行动,使用鱼叉钓鱼技术在印度的国防组织和其他政府组织中引诱受害者,或通过感染USB设备来攻击印度和阿富汗的政府和军事组织。
二、事件概述
继3月份对Sidecopy的追踪报告发布以后,奇安信威胁情报中心红雨滴团队在日常威胁情报狩猎中再次捕获了一批Sidecopy以印度为目标的攻击样本。在此攻击活动中,攻击者主要以沙特阿拉伯代表团访印为诱饵,将下载器伪装为快捷方式文件并通过钓鱼邮件发送给受害者。当受害者解压并执行诱饵文件之后,程序将会从远程服务器下载数据文件到本地并解密执行,最终加载远控软件AckRAT。
在此攻击活动中,Sidecopy的感染链与之前的攻击活动保持相对一致,使用恶意LNK文件作为入口点,然后是一个复杂的感染链,涉及多层文件嵌套以传递最终的有效负载。其最终载荷疑似Sidecopy组织新开发的木马,在与C2的通信过程中不断发送’ACK’字符,故此我们暂时将其命名为AckRAT。
三、详细分析
(一)基本信息
在威胁狩猎过程中,我们并未捕获到初始攻击载荷,结合压缩包文件,根据Sidecopy一贯的攻击手法来看,我们猜测初始攻击载荷应该是鱼叉攻击邮件,通过邮件中的附件诱骗受害者点击打开压缩包文件,并且点击其中的lnk文件。
文件名 | Saudi_Delegation.zip |
MD5 | 6D724445E65B6407F26A5B0251FDD1E4 |
文件大小 | 3989544字节 |
文件类型 | Zip |
解压后包含隐藏文件夹Adobe和诱饵lnk文件,lnk文件名翻译为“沙特代表团”。
对诱饵lnk文件进行分析,其使用系统的mshta.exe访问挂载在印度Ssynergy公司官网下的后续载荷执行。
Ssynergy公司是印度大型制造商和出口商,提供各种化妆品原料、复合材料、营养保健品等,在材料科学领域拥有超过75年的历史,其官网简介中称其客户包含印度总理办公室、印度理工学院等。
我们猜测Sidecopy组织通过漏洞将载荷上传至Ssynergy公司官网,通过正常网站地址来中继后续载荷,以此绕过部分安全软件的监控。其页面挂载的文件为delegation.hta,是Sidecopy惯用的JS脚本。
(二)preBotHta.dll
delegation.hta其主要功能是内存中加载preBotHta.dll,并调用preBotHta.dll中的PinkAgain函数。
PinkAgain函数首先解密JS代码中嵌套的数据,释放诱饵PDF文件以迷惑受害者。
释放的诱饵内容与诱饵lnk文件名相关,内容是沙特阿拉伯医疗代表团访问印度,与印度武装部队医疗官员讨论医疗问题,并且右上角时间是2023年3月17日,这表明攻击活动发生在近期。
随后通过JS脚本传递的杀软信息来决定后续执行方式,但在当前版本中,不管是何种杀软都走同一个分支,解密传递的数据后释放并执行一个可执行文件。
(三)AckRAT
释放的Trex.exe伪装成Trex公司软件。
首先收集当前受害者信息,包括电脑名、用户名、杀软信息、系统版本等。
然后将收集到的信息发送至C2:209.126.81.42,端口为444,并解析C2返回的数据,当C2返回的数据大于1字节时,才会进入远控流程,否则一直循环,而实际调试过程中C2一直返回单字符’y’。
鉴于该RAT常发送’ack’字符串向C2请求数据,我们将其暂时命名为AckRAT,其指令对应的功能如下:
指令1 | 指令2 | 功能 |
非no | b | 获取指定路径下的所有文件和文件夹的名称,并将它们发送到指定的网络接收端 |
no | d | 向C2发送三次’ack’后,接收C2返回的数据并写入文件但不执行 |
e | 与指令’d’功能一致,区别在于向C2发送三次’ack’后,接收C2返回的数据写入文件并执行 | |
f | 删除指定文件或文件夹 | |
g | 远程shell | |
c | 上传C2指定路径下的文件 | |
a | 发送磁盘信息 | |
z | 结束进程、退出 | |
h | 截屏并发送 | |
i | 结束进程、退出 |
四、溯源关联
其攻击流程与我在上个月披露的《Sidecopy组织近期以印度国防部相关文档为诱饵的攻击活动分析》[2]一文中基本一致。
并且其中lnk文件均从同一开发者环境中生成。
据此还能狩猎到3月份Sidecopy攻击的所使用的DetaRAT,C2为185.136.161.129,端口是4987,并且其C2指令较老版本相比并未更改。
其次Sidecopy保持从互联网上获取代码丰富自己RAT的风格,根据开源项目在新的DetaRAT中添加抓取浏览器密码的功能。
五、总结
此次Sidecopy组织的攻击是3月份攻击的延续,其攻击组件涉及了AllaKoreRAT、ActionRAT、DetaRAT、C++木马等,攻击手法及武器代码方面较为单一,擅于使用网络上开源的代码及工具。早些时候我们还披露过其对Linux,MacOS等多平台的攻击[3],奇安信威胁情报中心会对其进行长期的溯源和跟进,及时发现安全威胁并快速响应处置。
APT组织攻击一直以来对于国家和企业来说都是一个巨大的网络安全威胁,通常由某些人员精心策划,出于商业或政治动机,针对特定组织或国家,并且会在长时间的攻击活动中保持高度的隐蔽性,需时刻提防。
六、防护建议
奇安信威胁情报中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
七、IOC
MD5
6D724445E65B6407F26A5B0251FDD1E4
D663E977C079D338D47E937F7AFCFBB4
2C65DC705BA503261654AA40484A19E9
42A152594AF53012A3559BD7CDF99056
AC92A32AEE15421AB9E953B1836A691B
E62B5CC773A2240BBFA56B535076905F
C&C
209.126.81.42:444
185.136.161.129:4987
URL
https://ssynergy.in/wp-content/themes/twentytwentythree/assets/fonts/inter/delegation/
https://cornerstonebeverly.org/js/files/docufentososo/doecumentosoneso
https://halterarks.co.uk/img/gallery/misc/files/html5-k/
https://halterarks.co.uk/img/gallery/misc/files/jquery-k/
八、参考链接
[1] https://blog.talosintelligence.com/2021/07/Sidecopy.html
[2] https://ti.qianxin.com/blog/articles/Analysis-of-Sidecopy-Group"s-Recent-Attacks-Using-Indian-Ministry-of-Defense-Documents-as-Lures-CN/
[3] https://ti.qianxin.com/blog/articles/Sidecopy-dual-platform-weapon/
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。