攻击者利用已泄露的 ID,将与之关联的电子邮件 ID 用户名伪装成具有网络安全背景的政府人员。他们创建了一个模仿电子政务服务的虚假域名,该域名带有开放目录,用于托管有效载荷和进行凭证网络钓鱼的登录页面。同时,十三个子域名及 URL 托管着位于马哈拉施特拉邦的多个市政公司(CMC)各类 RTS 服务的登录页面。水利部下属的国家水文项目(NHP)官方域名也遭入侵,被用于传播恶意负载。
攻击者还采用了新策略,通过 PowerShell 的反射加载、资源段 AES 解密等方式,部署基于 C# 的开源工具 XenoRAT 的自定义版本。针对 Linux 平台,基于 Golang 的开源工具 SparkRAT 的修改版本,已通过之前用于 Poseidon 和 Ares RAT 有效载荷的相同阶段程序进行部署。研究人员发现了一种名为 CurlBack 的新型 RAT,其利用 DLL 侧载技术,通过 UUID 将受害者注册到 C2 服务器,并支持使用 curl 进行文件传输。
在 2025 年 1 月和 2024 年 6 月,研究人员观察到以美人计为主题的活动,与此同时,一名被控向巴基斯坦官员泄露敏感数据的政府雇员被捕。一个在 2024 年 8 月被发现遭入侵的教育门户网站,于 2025 年 2 月再次活跃,发布了针对大学生的新 URL,涵盖 “气候变化”“研究工作” 和 “专业” 三个不同主题(完整分析可查看此处录音,其中解释了 SideCopy APT 的六个不同集群)。
SideCopy 的母组织 APT36 长期以阿富汗为目标,其攻击主题与阿富汗伊斯兰酋长国囚犯管理局(OPA)有关。近期,APT36 发起了一场针对 Linux 系统的攻击活动,主题为 “培养未来战争的领导力”,其中涉及使用 AES/RC4 加密的阶段性工具来投放 MeshAgent RMM 工具 。
印度政府部门的目标行业
-
铁路
-
石油和天然气
-
外部事务
网络钓鱼电子邮件
此次针对国防部门的攻击活动始于一封日期为2025年1月13日的钓鱼邮件,邮件主题为“NDC 65更新时间表已讨论”。邮件中包含一个链接,用于下载名为“NDC65-Updated-Schedule.pdf”的文件,以引诱目标用户。
第二封钓鱼邮件于2025年1月15日发送,主题为“本课程的政策更新.txt”,其中也包含一个钓鱼链接。这封邮件来自一个看似官方的电子邮件ID,但该ID很可能已被盗用。国防学院(NDC)是位于德里的一所国防服务培训机构,专门教授国家安全战略和实践,隶属于印度国防部。
攻击者的电子邮件地址“gsosystems-ndc@outlook[.]com”于2025年1月10日在阿联酋创建,最后一次活跃时间为2025年2月28日。OSINT发现了一个类似的电子邮件ID“gsosystems.ndc-mod@nic[.]in”,该ID属于印度电子和信息技术部(MeitY)下属的国家信息中心(NIC)。攻击者电子邮件中关联的用户名冒充了具有网络安全背景的政府人员。
诱饵文件
该诱饵与印度国防学院(NDC)相关,其中包含第65期课程(NDC-65)2025年的年度培训日历(学习与活动)。该学院位于新德里,是印度国防部下属的国防服务培训机构,也是国防军(印度武装部队)和公务员军官的最高战略学习中心。
另一个名为“2024-National-Holidays-RH-PER_N-1.zip”的钓鱼存档文件有两种变体,分别针对 Windows 和 Linux 系统。一旦触发有效载荷,就会跳转到一个诱饵文档,其中包含 Open Line 员工 2024 年的假期列表,正如其名称所示。这是南方铁路公司于 2023 年 12 月 19 日发布的官方通知,专门针对钦奈分部。南方铁路 (SR) 是印度铁路公司 (Indian Railways) 的十八个分部之一,该公司是印度铁道部的国有企业。
第三条感染链包含一份名为《2024年网络安全指南》的文件,该文件似乎由印度斯坦石油有限公司(HPCL)发布。HPCL总部位于孟买,是一家石油和天然气行业的公共部门企业,也是印度石油天然气部旗下国有企业印度石油天然气公司(ONGC)的子公司。
另一份与同一感染相关的文件是印度药品管理局(MAPRA)发布的2025年《药品目录》。该文件专门供印度外交部(MEA)员工使用。Mapra Laboratories Pvt. Ltd.是一家总部位于孟买的制药公司。
OpenDir 和 CredPhish
一个冒充电子政务门户服务的虚假域名已被用于针对铁路实体开展攻击活动。该域名创建于2023年6月16日,并包含一个开放目录,其中包含调查过程中发现的多个文件。
总共已识别出 13 个子域名,它们充当各种系统的登录门户,例如:
-
网络邮件
-
安全罐管理系统
-
工资系统
-
设置权限
这些网站很可能被用于凭证钓鱼,自去年以来一直在主动冒充多个合法政府门户网站。这些登录页面通常与 RTS 服务(《公共服务权利法》)相关,并为各市政公司(CMC)提供服务。
所有这些域名都具有以下 DNS 历史记录,主要注册于 AS 140641(YOTTA NETWORK SERVICES PRIVATE LIMITED)。这表明可能存在一个协调一致的基础设施,用于冒充合法服务并从不知情的用户那里收集凭证。
对开放目录的进一步调查发现了与该虚假域名相关的其他URL。这些URL可能用于类似的钓鱼目的,并包含更多诱饵内容。
SideCopy 的第一个攻击集群展现出了一种复杂的攻击方式,它同时针对 Windows 和 Linux 环境。新的远程访问木马 (RAT) 已添加到他们的武器库中,增强了其有效入侵各种系统的能力。
鱼叉式钓鱼邮件链接会下载一个包含双扩展名(.pdf.lnk)快捷方式的存档文件。
该快捷方式会使用转义符 (^) 来触发cmd.exe,从而规避检测并降低可读性。在这些文件中,我们可以看到一个新的机器 ID“dv-kevin”,因为我们通常会看到“desktop-”前缀。
msiexec.exe 实用程序用于安装远程托管的 MSI 软件包。它使用带有安装开关的静默模式标志。
第一个域名模仿了在公开目录中看到的虚假电子政务网站,而第二个域名是一个被攻陷的域名,隶属于水利部下属的官方国家水文项目。MSI 文件包含一个 .NET 可执行文件ConsoleApp1.exe,它会植入多个经过 base64 编码的 PE 文件。首先,诱饵文档会被植入到公共目录中并打开,其余的 PE 文件则会植入到“ C:ProgramDataLavaSoft ”目录中。其中包括两个 DLL 文件:
合法DLL:Sampeose.dll恶意 DLL:DUI70.dll,被识别为CurlBack RAT。
CurlBack RAT 首先使用命令“/antivmcommand”检查特定 URL 的响应。如果响应为“on”,则继续执行;否则,则会终止自身,从而保持检查状态。它会使用以下注册表项收集系统信息以及所有连接的 USB 设备:
“SYSTEMControlSet001EnumUSBSTOR”
显示已连接和正在运行的进程,以检查 explorer、msedge、chrome、notepad、taskmgr、服务、defender 和设置。
接下来,它会生成一个 UUID,用于客户端向 C2 服务器注册。生成的 ID 会与用户名一起保存在“ C:Users<username>.client_id.txt”文件中。
在注册ID之前,通过名为“ OneDrive ”的计划任务为合法二进制文件设置持久性,可以在以下位置观察到:“ C:WindowsSystem32TasksOneDrive ”。
一旦注册,连接就会保持活动状态以检索响应中返回的任何命令。
如果响应包含任何值,它将检索当前时间戳并执行以下 C2 命令之一:
其他基本功能包括获取用户和主机详细信息、提取存档文件以及创建任务。字符串和代码显示,恶意 DLL 中的 CURL 可用于枚举和传输各种文件格式:
图像文件:GIF、JPEG、JPG、SVG文本文件:TXT、HTML、PDF、XML
Linux
Stager 功能:
-
使用wget命令从egovservice域下载诱饵到目标目录/.local/share并打开它(National-Holidays-RH-PER_N-1.pdf)。
-
将最终的有效载荷精灵下载为/.local/share/xdg-open并执行。
-
使用当前用户名创建一个 crontab“/dev/shm/mycron”,以便在系统重启后保持有效载荷的持久性。
该stager最终交付的payload是Spark RAT,这是一款开源远程访问木马,支持Windows、macOS和Linux系统的跨平台运行。该木马使用Golang编写,于2022年在GitHub上发布,目前已拥有超过500个分支,非常流行。Spark RAT使用WebSocket协议和HTTP请求与C2服务器通信。
感染始于一个鱼叉式钓鱼邮件链接,该链接会下载一个名为“NDC65-Updated-Schedule.zip”的压缩文件。该文件包含一个双扩展名格式的快捷方式文件,可触发托管在另一个受感染域名上的远程 HTA 文件:
“hxxps://modspaceinterior.com/wp-content/upgrade/01/&mshta.exe”
与 LNK“desktop-ey8nc5b”关联的机器 ID 在 SideCopy 之前的攻击活动中曾被观察到,但修改日期“2023:05:26”表明它可能是一个被重复使用的旧版本。除了 MSI 阶段程序之外,该组织还在继续使用基于 HTA 的阶段程序,这些阶段程序几乎完全未被发现(FUD)。
HTA 文件包含一个 Base64 编码的 .NET 有效载荷BroaderAspect.dll,该载荷被解码并直接加载到 MSHTA 的内存中。该二进制文件会在ProgramData目录中打开已投放的 NDC 诱饵文档,并在Public目录中打开一个附加的 .NET 暂存器(PDF 格式)。持久性是通过名为“Edgre”的 Run 注册表项设置的,其执行方式如下:
cmd /C start C:UsersPublicUSOShared-1de48789-1285zuidrt.pdf加密有效载荷
被释放的名为“Myapp.pdb”的.NET二进制文件有两个资源文件:
-
“Myapp.Resources.Document.pdf”
-
“Myapp.Properties.Resources.resources”
第一个文件使用凯撒密码解码,并向后移动9个字符。该文件被丢弃为“ PublicDownloadsDocument.pdf ”(122.98 KB),是一篇2004年GIAC的论文,题为“Windows操作系统上远程访问木马的高级通信技术”。
虽然它不是诱饵,但在末尾附加了一个加密的有效载荷。恶意软件会搜索“ %%EOF ”标记,以将 PDF 数据与 EXE 数据分开。PDF 数据会从开头到标记处提取,而 EXE 数据则会跳过标记后 6 个字节提取。
经过一段时间的延迟后,EXE 数据被删除为“ PublicDownloadssuport.exe ”(49.53 KB),并作为参数与密钥一起发送以触发 PowerShell 命令。
PowerShell 阶段
我们可以看到,PowerShell 命令的执行使用了基本参数“-NoProfile -ExecutionPolicy Bypass -Command”来忽略策略和配置文件。命令中发送了两个参数:
-
-EPath 'C:\Users\Public\Downloads\suport.exe'
-
-EKey 'wq6AHvkMcSKA++1CPE3yVwg2CpdQhEzGbdarOwOrXe0='
经过一段时间的延迟后,加密密钥从Base64解码,前16个字节将被视为AES加密的IV(采用PKCS7填充的CBC模式)。这样做是为了将解密后的二进制文件作为.NET程序集直接加载到内存中,并调用其入口点。
定制 Xeno RAT
转储名为“DevApp.exe”的最终 .NET 有效载荷后,我们发现了 Xeno RAT 中常见的一些功能。Xeno RAT 是一款开源远程访问木马,于 2023 年底首次出现。主要功能包括 HVNC、实时麦克风访问、Socks5 反向代理、UAC 绕过、键盘记录器等。SideCopy 使用的自定义变体添加了基本的字符串操作方法,其 C2 和端口为 79.141.161[.]58:1256。
去年,一个与朝鲜相关的 APT 组织(追踪编号为 UAT-5394)使用了名为 MoonPeak 的定制 Xeno RAT 变种。同样,DragonSpark 和 TAG-100 等中文攻击者也采用了定制 Spark RAT 变种。
基础设施和归因
该威胁组织用于发布恶意软件的域名。大多数域名的注册商为 GoDaddy.com, LLC。
C2 域名是在 2024 年 12 月最后一周的活动开始前创建的。通过加拿大注册商“Internet Domain Service BS Corp.”,它们解析为位于加利福尼亚州的 Cloudflare ASN 13335 的 IP。
Xeno RAT 79.141.161[.]58 的 C2 具有唯一的通用名称(CN=PACKERP-63KUN8U),其 ASN 为 202015 的 HZ Hosting Limited。用于通信的端口为 1256,但也观察到开放的 RDP 端口 56777。
这两个 C2 域名均与 Cloudflare ASN 13335 关联,解析到 IP 范围 172.67.xx.xx。SideCopy 此前曾利用此 ASN 上的类似 C2 域名发起针对海事领域的攻击。考虑到过去的感染集群、观察到的 TTP 以及托管的开放目录,这些采用新 TTP 的攻击活动高度可信地归因于 SideCopy。
结论
与巴基斯坦有关联的 SideCopy APT 组织自 2024 年 12 月下旬以来显著改进了其攻击策略,将目标范围扩大到铁路、石油天然气和外交部等关键行业。该组织已从使用 HTA 文件转变为使用 MSI 包作为主要分阶段机制,并继续使用 DLL 侧载、反射加载和通过 PowerShell 进行 AES 解密等高级技术。此外,他们还利用定制的开源工具(例如 Xeno RAT 和 Spark RAT)以及新发现的 CurlBack RAT。受感染的域名和虚假网站被用于凭证钓鱼和有效载荷托管,凸显了该组织正在不断增强持久性和逃避检测的能力。
原文始发于微信公众号(Khan安全团队):从 HTA 到 MSI:多平台攻击驱动的 APT 组织的新型战术、技术及程序(TTP)与集群特征
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论