功夫:2022-01-18 作者:ca88登陆平台威胁谍报中心
布景
SideCopy组织至少自2019年以来一向在活动,,,,,重要针对南亚国度的国防军和武装队列人员、陆武士员进行窃密活动。。。。。。。该组织通过仿照响尾蛇APT的攻击手法来传递自己的恶意软件,,,,,并以此达到蛊惑安全人员的主张。。。。。。。
2021年11月15日,,,,,ca88登陆平台威胁谍报中心红雨滴团队初次发现SideCopy组织使用由Python打包的双平台攻击兵器[1],,,,,活动中使用的初始攻击样本是一个蕴含Linux桌面启动文件的压缩包,,,,,该文件在执行之后会下载并播放莫迪总统讲话视频以蛊惑受害者,,,,,同时下载一个用于下载RAT的剧本并执杏祝。。。。。。
经分析,,,,,我们能够确认该RAT是一款支持Windows和Linux双平台的远控工具。。。。。。。通过C&C关联发现,,,,,该团伙兵器库中还蕴含MacOS平台的BellaRAT。。。。。。。之后我们加强了对该组织的持续关注及追踪。。。。。。。
2021年12月20日,,,,,我们再次捕获SideCopyAPT组织以印度国防照拂长坠机有关事务为钓饵进行的攻击[2]。。。。。。。钓饵文德符用远程模板注入,,,,,远程加载并执行含有恶意DDE域代码的文档文件,,,,,通过恶意域代码下载vbs剧本到本机执行下发后续恶意代码。。。。。。。
概述
近日,,,,,红雨滴团队钻研人员在日常威胁狩猎中再次捕获到一例针对Linux平台的攻击样本。。。。。。。与上次分歧的是,,,,,这次捕获样本由Go说话编写而不是Python,,,,,该样性子能较为单一,,,,,仅实现了对指标受害者主机目录的扫描和窃取。。。。。。。遗憾的是,,,,,由于C2失效,,,,,我们没有获取到齐全的攻击链,,,,,以及更深刻的钻研分析。。。。。。。
样本信息
本次捕获到的样本均为Linux64位系统的ELF文件。。。。。。。本文将这次捕获到的样本分为两类,,,,,两类样本在根基结构、职能上大抵类似,,,,,分歧之处在于第一类样本获取了本机IP地址并进行了悠久化操作。。。。。。。具体信息如下:
具体分析
首先以第一类样本,,,,,即不蕴含悠久化操作的样本34d9dff0aa80f6ea7eea6f491d493fa3为例进行分析。。。。。。。
样本运行后将获取当前用户信息,,,,,以及主目录,,,,,并判断是否存在“/tmp/lists.txt”文件。。。。。。。

若“/tmp/lists.txt”文件不存在,,,,,则样本将会先遍历主目录信息,,,,,而后在/tmp目录下创建lists.txt,,,,,并将了局存放在里面,,,,,上传C2为207.180.243[.]186:8062。。。。。。。
若“/tmp/lists.txt”存在则跳过主目录遍历,,,,,直接进入下一步操作。。。。。。。

遍历的了局如下:

用于上传C2的部门:

之后,,,,,持续扫描/home/目录下带特定扩大名的文件,,,,,并创建/tmp/temp.txt,,,,,用于存放上传文件的纪录,,,,,之后将扫描了局逐一上传C2,,,,,上传实现后便实现法式。。。。。。。


样本所扫描的扩大名蕴含.css、.csv、.doc、.egm、.gif、.htm、.jpg、.mjs、.odt、.oef、.pdf、.png、.ppt、.sdd、.sec、.svg、.txt、.xls、.xml等。。。。。。。
两类样本的分歧之处
第二类样本与第一类样本的分歧之处在于:
1.样本运行后首先向api.ipify.org发送GET要求获取受习染系统的IP地址,,,,,之后再进行获取用户信息的操作;;;;;;;

2.在获取到用户信息之后,,,,,样本会通过“/.config/autostart/”目录实现开机自启,,,,,获得悠久化。。。。。。。


之后的流程便与第一类样本齐全一样。。。。。。。最终衔接到的C2为164.68.108[.]153:8062。。。。。。。
关联分析
我们在分析过程中发现,,,,,第一类样本使用的C2:207.180.243[.]186,,,,,与《印度国防照拂长坠机:SideCopyAPT组织乘虚而入》[2]一文中恶意PowerShell剧本要求的C2一样,,,,,下图为文中样本执行流程:

凭据攻击流程来看,,,,,SideCopy组织利用207.180.243[.]186下发后续攻击组件。。。。。。。而本次捕获的样性子能单一,,,,,很像某条攻击链中使用的某一组件。。。。。。。固然《SideCopyAPT组织乘虚而入》一文中披露的是针对Windows平台的攻击,,,,,但我们猜测该组织可能在统一时期起头策动针对Linux平台的攻击。。。。。。。
其次通过ca88登陆平台威胁谍报文件深度分析平台可知本文中样本的下载链接为“hxxp://assessment.mojochamps[.]com/uploads/v/filename”。。。。。。。

该下载链接与此前我们披露的SideCopy攻击活动中的钓饵文档下载链接“hxxp://assessment.mojochamps[.]com/images/Jointness.docx”、“hxxp://assessment.mojochamps[.]com/uploads/v/3.php”所属域名均一样。。。。。。。

结合之前的两篇分析汇报,,,,,我们发现SideCopy组织早在11月就入侵了合法网站“hxxp://assessment.mojochamps[.]com”,,,,,并将其用于挂载钓饵文档及有关恶意后续载荷。。。。。。。不难看出,,,,,SideCopy组织通过这一网站同时进行了Windows、Linux两个平台的攻击活动。。。。。。。
此表,,,,,通过我们本次捕获到的Linux样本再次印证了该攻击团伙将攻击能力覆盖蕴含Linux、Windows等多个平台的意图,,,,,且为此在不休发展新的攻击兵器。。。。。。。
总结
SideCopy作为近年才被披露的APT组织,,,,,在2021下半年进入高度活跃的状态。。。。。。。近期,,,,,我们发现SideCopy组织不再满足于使用网络上开源的代码及工具,,,,,而是试图发展其攻击能力,,,,,更新其兵器库。。。。。。。ca88登陆平台威胁谍报中心会对其进行持久的溯源和跟进,,,,,实时发现安全威胁并急剧响应措置。。。。。。。
这次捕获的样本重要针对南亚地域发展攻击活动,,,,,国内用户不受其影响。。。。。。。ca88登陆平台红雨滴团队提醒宽大用户,,,,,切勿打开社交媒体分享的来历不明的链接,,,,,不点击执行未知起源的邮件附件,,,,,不运行标题夸大的未知文件,,,,,不装置非正规蹊径起源的APP。。。。。。。做到实时备份沉要文件,,,,,更新装置补丁。。。。。。。
若需运行,,,,,装置来历不明的利用,,,,,可先通过ca88登陆平台威胁谍报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判断。。。。。。。目前已支持蕴含Windows、安卓平台在内的多种体式文件深度分析。。。。。。。
目前,,,,,基于ca88登陆平台威胁谍报中心的威胁谍报数据的全线产品,,,,,蕴含ca88登陆平台威胁谍报平台(TIP)、天擎、天眼高级威胁检测系统、ca88登陆平台NGSOC、ca88登陆平台态势感知等,,,,,都已经支持对此类攻击的精确检测。。。。。。。

IOCs
MD5
5fd6fc76b3ec2f5c97a44bf7bd3de972
34d9dff0aa80f6ea7eea6f491d493fa3
64149e187f678f3131746d2975b8a8dc
fea8b786f469e723e8fdb7ed630ba850
C2
164.68.108[.]153:8062
207.180.243[.]186:8062
URL
http://207.180.243[.]186:8062/one
http://164.68.108[.]153:8062/one
参考链接
[1]https://ti.qianxin.com/blog/articles/Sidecopy-dual-platform-weapon/
[2]https://ti.qianxin.com/blog/articles/SideCopy-APT-Group-Takes-Advantage-of-the-Fire/
旗下网站
关于ca88登陆平台
95015服务热线
微信公家号
立即拨打