SideCopy

SideCopy组织自2020年被披露以来长期处于活跃之中，并主要针对印度国防、外交等部门持续发动网络攻击。近期，360高级威胁研究院发现了该组织针对印度政府部门的最新攻击行动，攻击者利用钓鱼邮件诱导下载含有恶意LNK的ZIP压缩文件，该LNK文件伪装成PDF或DOCX文件，受害者点击执行后会下载恶意代码从而开启一段复杂多阶段的攻击链，最终释放AllaKoreRAT或ReverseRAT远控组件，从而完成窃密活动。

 一、攻击活动分析 

1.攻击流程分析

在本轮攻击中，SideCopy组织一如既往的使用恶意压缩包作为攻击入口，其压缩包中包含恶意LNK，并且使用了各种各样的诱导文件名，如“Violance Against Women.docx.lnk”，样本运行后会释放伪装内容并加载其恶意代码，整个攻击流程如下图所示： 

攻击者首先诱导用户下载恶意压缩包，当受害者点击恶意压缩包中的lnk文件时，则远程下载执行hta文件。该hta文件主要功能是反射加载携带参数的preBotHta.dll文件，DLL加载后会依次释放诱饵文档、config.bat、system.hta等文件，其中system.hta文件会进一步加载ReverseRAT组件，从而实现窃密行为。

特别说明的是，在我们捕获的攻击样本中，也有通过下载的hta文件执行白利用程序，并最终加载AllaKoreRAT载荷的样本，因此可以看出该组织攻击武器多样，并且交替使用。

2.恶意载荷分析  

1.          

2.          

Sidecopy组织在本轮攻击中使用了大量恶意lnk文件进行攻击，其恶意行为基本相同，下表是其中部分lnk攻击文件基本信息。

MD5	文件名
3f22b345ed1f9e244db034f9af49e707	Violance Against  Women.docx.lnk
5be4e4884f4e021ba975cbed0a7e9c25	Management Principles and  Practices.docx.lnk
f7d1e515cb84f6dc2d0349ab93bd4e05	Types of Software.docx.lnk
1a1c8c0f5cafb7df661086bcb804154c	New Document.docx.lnk
441f580a36757cf20493029b055f581e	Survey.docx.lnk.lnk
a65eb385c9019c712ea513e4c5c25152	Information systems.docx.lnk

以其中之一为例（md5:441f580a36757cf20493029b055f581e）进行分析说明，该lnk文件从“https://hpuniversity.in/documents/survey/start”下载hta文件并执行。其hta文件功能主要反射加载preBotHta.dll，并将诱饵文件数据和诱饵文件名“Survey.docx”作为参数传入。

preBotHta.dll会检测系统安装的杀毒软件，根据不同的软件来选择不同的执行流程。

针对Kaspersky杀毒软件执行流程：

• 创建C:\Windows\Tasks\目录；

• 在C:\Windows\Tasks\目录下释放system.hta文件；
• 在系统启动目录StartUp下创建快捷文件System File.lnk，其参数为“/c start /b C:WindowsTasksconfig.bat”；
• 休眠2秒，在C:\Windows\Tasks\目录下释放file.jpg，并改名为config.bat。该bat的功能就是利用mshta启动释放的systm.hta文件。

针对Quick杀毒软件执行流程：

• 先打开诱饵文件；

• 创建C:\Windows\Tasks\目录；
• 在该目录下释放adding.bat文件，内容为“REG ADD "HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun" /V "VMs" /t REG_SZ /F /D "C:WindowsTasksconfig.bat"，隐藏执行后删除该批处理文件；
• 释放system.hta和config.bat；
• 最后执行system.hta。

针对其他杀毒软件的处理方式与Quick杀毒软件基本类似，只是在执行过程中某些文件的释放顺序不一致。

system.hta的功能为反射加载第二层的preBotHta.dll，该dll实际为ReverseRAT，执行时先向地址185.136.161.129:4987发起连接，并将本地IPv4地址、用户名、计算机名和操作系统版本信息采用AES加密发送到服务器，等待服务器返回数据后利用AES解密数据并解析指令进而执行后续操作。

相关远控指令如下表所示：

指令	描述
Disconnected	关闭连接
SystemInformation	获取系统信息
pkill	终止进程
ProcessManager	获取进程列表
Software	获取安装软件列表
Passwords	获取Firefox和Chrome浏览器存储的密码
RD	屏幕截图
GetPcBounds	获取屏幕分辨率
SetCurPos	移动鼠标
GetHostsFile	获取hosts文件内容
SaveHostsFile	向hosts文件写入数据
GetCPText	获取剪切板数据
SaveCPText	向剪切板写入数据
Shell	命令执行
ListDrives	获取磁盘信息
ListFiles	查看文件
mkdir	创建目录
rmdir	删除目录
rnfolder	重命名文件夹
mvdir	移动目录
rmfile	删除文件
rnfile	重命名文件
sharefile	文件共享
run	文件执行
FileUpload	加密上传

需要说明的是，这次攻击过程中，SideCopy组织在ReverseRAT载荷中采用了AES加密方式而不是之前的RC4加密算法，并且命令也从最初的10多个增加到现在的25个，由此可以看出 SideCopy 的活动一直在持续，并不断进化恶意代码的功能，保持对其武器库的更新。

 二、关联分析 

在本轮攻击稍早时期，我们也发现了SideCopy组织利用工作津贴为诱饵针对印度国防部的攻击行动，其部分样本如下所示。

MD5	577419f202182f6e933c1cf83ef922ea
文件大小	317.86 KB (325484)字节

样本为ZIP压缩包文件，其中含有伪装成pdf的恶意lnk文件，

点击lnk文件，会从远端下载恶意代码，并通过层层加载最终释放AllaKoreRAT组件，在执行过程中也会释放伪装文档，如下图所示。         

此类样本执行流程与前面提到的样本有少部分差异，样本在执行过程中会运行白利用程序，并且最终加载AllaKoreRAT组件，其中具体执行细节这里不再展开描述。

 三、归属研判 

1. 本次攻击流程与SideCopy组织的以往攻击流程呈现出高度一致性，都是以zip文件为入口诱导点击恶意的lnk文件，从而远程加载hta文件，该脚本无文件反射加载dll，然后通过多层加载，最终执行RAT。
2. 样本执行过程中针对杀毒软件执行不同的策略，这与以前捕获的SideCopy组织样本类似。
3. ReverseRAT组件为该组织开发的专属木马，AllaKoreRAT组件也多次用于SideCopy攻击行动中。此外，受害者符合SideCopy组织攻击目标。
   综上，我们将其归纳到SideCopy组织。

总结

SideCopy组织近年来攻击活动频繁，其攻击武器涵盖了多种语言，如C#、Delphi、GoLang，攻击组件也变化多样，如ReverseRAT AllaKoreRAT、SparkRAT。从本次攻击活动，可以看出该组织在对抗各大杀软厂商上招数频出，以求更好的完成恶意功能，并且ReverseRAT采用了强度更高的AES加密方式而不是之前RC4加密算法，说明该组织在恶意代码的功能和形态上持续进化。

此外，本文披露的相关恶意代码、C&C只是Sidecopy组织部分攻击过程中使用的最新武器，后期我们也将持续关注该组织的攻击活动。

附录 IOC

MD5:

577419f202182f6e933c1cf83ef922ea 

3e3d3f78a07bab5a3342e0414e48d787

30a179ff4d4bd14413e1f8e0fc6bafd1 

191c389140293c782d7a2304893151e2 

26e41af2ca9ea82c244c1aa1ec77654a

087e366a4beccbecb7d7cdb5c2f73088

09d448bb918c17154692f505b75a8c40

b0a925aa9c8264323456d7a20bb649ea

6002ea23a5b8941f2a008530bac2ab31

8e7eb1053e53138f5111edab50862995

64bccf6da9ec7a3e045716e98090c68a

81fe8a9c9f529d932aa85508d9299c1c

b8ea9e4853ecf9f87f0790d645901ce5

dd5ca7eb6d3bdbe95f4bcb809274ed41

3f88ca9fd51e43f50e48e06f0663bf80

6cf4c31c22359355c57cb6a28826cfe2

2ba145ef5e177543907b4f4499a1531f

65360a75a272f42fdbabfefd6c8e01b2

ac92a32aee15421ab9e953b1836a691b

000b5b74bfb27da040e9ad219dfa7b17

d129b81c1d40c34ac628835e144a4740

63789cacecc1abd9669344516adb4120

9b06472e5acf2311d0af62d638a8e51a

6b3f45f7a6758d198a317de43d51e669

a65eb385c9019c712ea513e4c5c25152

ba2ada448b8471789c0ef3b3345597fe

1a1c8c0f5cafb7df661086bcb804154c

f7d1e515cb84f6dc2d0349ab93bd4e05

0c44da9103fb26dafc710e83e95ad1c2

3f22b345ed1f9e244db034f9af49e707

ede163036a1754c71d6ff11b266b91ce

441f580a36757cf20493029b055f581e

5be4e4884f4e021ba975cbed0a7e9c25

6c58d5dd5b61a725d6fb15bef97491d6

c89277ff88c8ecd76b03edeb3307b89e

a65eb385c9019c712ea513e4c5c25152

b25e86a37878cf13d0eca0635051ff2f

URL:

https://hpuniversity[.]in/files/software/star

https://hpuniversity[.]in/documents/assignment3/start

https://hpuniversity[.]in/documents/women/start

https://hpuniversity[.]in/files/survey/start

https://hpuniversity[.]in/documents/assignment1/start

https://hpuniversity[.]in/documents/assignment2/start

https://hpuniversity[.]in/files/data/star

https://hpuniversity[.]in/uploads/files/file2/start

https://hpuniversity[.]in/files/principles/start

https://hpuniversity[.]in/uploads/files/women/start

https://hpuniversity[.]in/uploads/files/survey/start

https://hpuniversity[.]in/documents/survey/star

https://hpuniversity[.]in/uploads/files/file3/start

https://kcps.edu[.]in/css/fonts/files/avena/

https://kcps.edu[.]in/css/fonts/files/ntsfonts/

https://kcps.edu[.]in/css/fonts/files/jquery/

https://kcps.edu[.]in/css/fonts/files/docs/graentsodocumentso/ganeshostwoso

C&C:

89.117.63[.]146:9921

185.229.119[.]60:9134

185.136.161[.]129:4987

360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

原文始发于微信公众号（360威胁情报中心）：SideCopy组织针对印度政府部门的攻击活动分析