ca88登陆平台

“SideCopy”兵器库更新:基于Golang的Linux窃密工具浮出水面

功夫:2022-01-18 作者:ca88登陆平台威胁谍报中心

分享到:

    布景

    SideCopy组织至少自2019年以来一向在活动,, ,,,重要针对南亚国度的国防军和武装队列人员、陆武士员进行窃密活动。 。。。 。。。该组织通过仿照响尾蛇APT的攻击手法来传递自己的恶意软件,, ,,,并以此达到蛊惑安全人员的主张。 。。。 。。。

    2021年11月15日,, ,,,ca88登陆平台威胁谍报中心红雨滴团队初次发现SideCopy组织使用由Python打包的双平台攻击兵器[1],, ,,,活动中使用的初始攻击样本是一个蕴含Linux桌面启动文件的压缩包,, ,,,该文件在执行之后会下载并播放莫迪总统讲话视频以蛊惑受害者,, ,,,同时下载一个用于下载RAT的剧本并执杏祝 。。。 。。。

    经分析,, ,,,我们能够确认该RAT是一款支持Windows和Linux双平台的远控工具。 。。。 。。。通过C&C关联发现,, ,,,该团伙兵器库中还蕴含MacOS平台的BellaRAT。 。。。 。。。之后我们加强了对该组织的持续关注及追踪。 。。。 。。。

    2021年12月20日,, ,,,我们再次捕获SideCopyAPT组织以印度国防照拂长坠机有关事务为钓饵进行的攻击[2]。 。。。 。。。钓饵文德符用远程模板注入,, ,,,远程加载并执行含有恶意DDE域代码的文档文件,, ,,,通过恶意域代码下载vbs剧本到本机执行下发后续恶意代码。 。。。 。。。

    概述

    近日,, ,,,红雨滴团队钻研人员在日常威胁狩猎中再次捕获到一例针对Linux平台的攻击样本。 。。。 。。。与上次分歧的是,, ,,,这次捕获样本由Go说话编写而不是Python,, ,,,该样性子能较为单一,, ,,,仅实现了对指标受害者主机目录的扫描和窃取。 。。。 。。。遗憾的是,, ,,,由于C2失效,, ,,,我们没有获取到齐全的攻击链,, ,,,以及更深刻的钻研分析。 。。。 。。。

    样本信息

    本次捕获到的样本均为Linux64位系统的ELF文件。 。。。 。。。本文将这次捕获到的样本分为两类,, ,,,两类样本在根基结构、职能上大抵类似,, ,,,分歧之处在于第一类样本获取了本机IP地址并进行了悠久化操作。 。。。 。。。具体信息如下:

    具体分析

    首先以第一类样本,, ,,,即不蕴含悠久化操作的样本34d9dff0aa80f6ea7eea6f491d493fa3为例进行分析。 。。。 。。。

    样本运行后将获取当前用户信息,, ,,,以及主目录,, ,,,并判断是否存在“/tmp/lists.txt”文件。 。。。 。。。

“SideCopy”兵器库更新:基于Golang的Linux窃密工具浮出水面

    若“/tmp/lists.txt”文件不存在,, ,,,则样本将会先遍历主目录信息,, ,,,而后在/tmp目录下创建lists.txt,, ,,,并将了局存放在里面,, ,,,上传C2为207.180.243[.]186:8062。 。。。 。。。

    若“/tmp/lists.txt”存在则跳过主目录遍历,, ,,,直接进入下一步操作。 。。。 。。。

“SideCopy”兵器库更新:基于Golang的Linux窃密工具浮出水面

    遍历的了局如下:

“SideCopy”兵器库更新:基于Golang的Linux窃密工具浮出水面

    用于上传C2的部门:

“SideCopy”兵器库更新:基于Golang的Linux窃密工具浮出水面

    之后,, ,,,持续扫描/home/目录下带特定扩大名的文件,, ,,,并创建/tmp/temp.txt,, ,,,用于存放上传文件的纪录,, ,,,之后将扫描了局逐一上传C2,, ,,,上传实现后便实现法式。 。。。 。。。

“SideCopy”兵器库更新:基于Golang的Linux窃密工具浮出水面

“SideCopy”兵器库更新:基于Golang的Linux窃密工具浮出水面

    样本所扫描的扩大名蕴含.css、.csv、.doc、.egm、.gif、.htm、.jpg、.mjs、.odt、.oef、.pdf、.png、.ppt、.sdd、.sec、.svg、.txt、.xls、.xml等。 。。。 。。。

    两类样本的分歧之处

    第二类样本与第一类样本的分歧之处在于:

    1.样本运行后首先向api.ipify.org发送GET要求获取受习染系统的IP地址,, ,,,之后再进行获取用户信息的操作;;;;;;;

“SideCopy”兵器库更新:基于Golang的Linux窃密工具浮出水面

    2.在获取到用户信息之后,, ,,,样本会通过“/.config/autostart/”目录实现开机自启,, ,,,获得悠久化。 。。。 。。。

“SideCopy”兵器库更新:基于Golang的Linux窃密工具浮出水面

“SideCopy”兵器库更新:基于Golang的Linux窃密工具浮出水面

    之后的流程便与第一类样本齐全一样。 。。。 。。。最终衔接到的C2为164.68.108[.]153:8062。 。。。 。。。

    关联分析

    我们在分析过程中发现,, ,,,第一类样本使用的C2:207.180.243[.]186,, ,,,与《印度国防照拂长坠机:SideCopyAPT组织乘虚而入》[2]一文中恶意PowerShell剧本要求的C2一样,, ,,,下图为文中样本执行流程:

“SideCopy”兵器库更新:基于Golang的Linux窃密工具浮出水面

    凭据攻击流程来看,, ,,,SideCopy组织利用207.180.243[.]186下发后续攻击组件。 。。。 。。。而本次捕获的样性子能单一,, ,,,很像某条攻击链中使用的某一组件。 。。。 。。。固然《SideCopyAPT组织乘虚而入》一文中披露的是针对Windows平台的攻击,, ,,,但我们猜测该组织可能在统一时期起头策动针对Linux平台的攻击。 。。。 。。。

    其次通过ca88登陆平台威胁谍报文件深度分析平台可知本文中样本的下载链接为“hxxp://assessment.mojochamps[.]com/uploads/v/filename”。 。。。 。。。

“SideCopy”兵器库更新:基于Golang的Linux窃密工具浮出水面

    该下载链接与此前我们披露的SideCopy攻击活动中的钓饵文档下载链接“hxxp://assessment.mojochamps[.]com/images/Jointness.docx”、“hxxp://assessment.mojochamps[.]com/uploads/v/3.php”所属域名均一样。 。。。 。。。

“SideCopy”兵器库更新:基于Golang的Linux窃密工具浮出水面

    结合之前的两篇分析汇报,, ,,,我们发现SideCopy组织早在11月就入侵了合法网站“hxxp://assessment.mojochamps[.]com”,, ,,,并将其用于挂载钓饵文档及有关恶意后续载荷。 。。。 。。。不难看出,, ,,,SideCopy组织通过这一网站同时进行了Windows、Linux两个平台的攻击活动。 。。。 。。。

    此表,, ,,,通过我们本次捕获到的Linux样本再次印证了该攻击团伙将攻击能力覆盖蕴含Linux、Windows等多个平台的意图,, ,,,且为此在不休发展新的攻击兵器。 。。。 。。。

    总结

    SideCopy作为近年才被披露的APT组织,, ,,,在2021下半年进入高度活跃的状态。 。。。 。。。近期,, ,,,我们发现SideCopy组织不再满足于使用网络上开源的代码及工具,, ,,,而是试图发展其攻击能力,, ,,,更新其兵器库。 。。。 。。。ca88登陆平台威胁谍报中心会对其进行持久的溯源和跟进,, ,,,实时发现安全威胁并急剧响应措置。 。。。 。。。

    这次捕获的样本重要针对南亚地域发展攻击活动,, ,,,国内用户不受其影响。 。。。 。。。ca88登陆平台红雨滴团队提醒宽大用户,, ,,,切勿打开社交媒体分享的来历不明的链接,, ,,,不点击执行未知起源的邮件附件,, ,,,不运行标题夸大的未知文件,, ,,,不装置非正规蹊径起源的APP。 。。。 。。。做到实时备份沉要文件,, ,,,更新装置补丁。 。。。 。。。

    若需运行,, ,,,装置来历不明的利用,, ,,,可先通过ca88登陆平台威胁谍报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判断。 。。。 。。。目前已支持蕴含Windows、安卓平台在内的多种体式文件深度分析。 。。。 。。。

    目前,, ,,,基于ca88登陆平台威胁谍报中心的威胁谍报数据的全线产品,, ,,,蕴含ca88登陆平台威胁谍报平台(TIP)、天擎、天眼高级威胁检测系统、ca88登陆平台NGSOC、ca88登陆平台态势感知等,, ,,,都已经支持对此类攻击的精确检测。 。。。 。。。

“SideCopy”兵器库更新:基于Golang的Linux窃密工具浮出水面

    IOCs

    MD5

    5fd6fc76b3ec2f5c97a44bf7bd3de972

    34d9dff0aa80f6ea7eea6f491d493fa3

    64149e187f678f3131746d2975b8a8dc

    fea8b786f469e723e8fdb7ed630ba850

    C2

    164.68.108[.]153:8062

    207.180.243[.]186:8062

    URL

    http://207.180.243[.]186:8062/one

    http://164.68.108[.]153:8062/one

    参考链接

    [1]https://ti.qianxin.com/blog/articles/Sidecopy-dual-platform-weapon/

    [2]https://ti.qianxin.com/blog/articles/SideCopy-APT-Group-Takes-Advantage-of-the-Fire/

ca88登陆平台 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

ca88登陆平台 在线客服 ca88登陆平台 95015

您对ca88登陆平台的任何疑难可用以下方式通知我们

将您对ca88登陆平台的任何疑难

用以下方式通知我们

【网站地图】【sitemap】