透明部落與SideCopy共用基礎設施露出馬腳

背景

2020年9月，Quick Heal披露了一起針對印度國防軍和武裝部隊陸軍人員的竊密行動并將其命名為Operation SideCopy（以下簡稱SideCopy）。

由于該活動中幾乎所有 C2 資產都屬于 Contabo GmbH（一家位于西歐的互聯網服務提供商），服務器名稱與已披露的 Transparent Tribe（透明部落）APT組織報告中的服務器名稱相似，并且SideCopy與Transparent Tribe攻擊目標均為印度國防部，因此Quick Heal小組認為該組織或與Transparent Tribe 組織有聯系^[1]。

時隔一年，奇安信威脅情報中心紅雨滴團隊發現一起針對印度軍方的攻擊活動^[2]，其樣本與Transparent Tribe組織存在弱關聯。隨后，Cyble研究人員發現了相似度極高的樣本，并將其歸因為SideCopy組織^[3]

Transparent Tribe（透明部落）于2016年2月由Proofpoint披露并命名，該組織也被稱為ProjectM、C-Major，被廣泛認為來自南亞地區某國。其最早的活動可以追溯到2012年，主要針對印度政府、軍隊或相關組織，利用社會工程學進行魚叉攻擊，向目標投遞帶有VBA的DOC、XLS文檔，執行誘餌文檔中的宏代碼釋放執行CrimsonRAT、PeppyRAT等，竊取相關資料信息。

SideCopy組織至少自 2019 年以來一直在活動，與Transparent Tribe同屬南亞地區某國，主要針對南亞國家的國防軍和武裝部隊人員、陸軍人員進行竊密活動。該組織通過模仿響尾蛇APT的攻擊手法來傳遞自己的惡意軟件，并以此達到迷惑安全人員的目的。

近日，奇安信威脅情報中心紅雨滴團隊在日常的威脅狩獵中捕獲到Transparent Tribe組織的針對印度國防軍官的攻擊樣本。根據紅雨滴研究人員深入分析，發現Transparent Tribe組織與SideCopy居然共用了網絡基礎設施，兩者可能屬于統一組織或有較大關聯。此次的攻擊活動有如下特點：

1. 該組織將其downloader偽裝為印度政府國家信息中心的Kavach身份驗證程序，Crimson RAT也利用Chrome圖標進行了偽裝；

1. 此次攻擊使用的Crimson RAT存在較多與惡意軟件的更新、下發和執行有關的C2指令；

1. 在downloader下載Crimson RAT及誘餌的域名下發現了疑似SideCopy組織的樣本。

樣本分析

樣本信息

本次捕獲的Transparent Tribe（透明部落）組織樣本均為C# 64位程序。其中Kavach.exe為該組織使用的下載器，從遠程下載誘餌及CrimsonRAT到本機執行。樣本具體信息如下：

文件名