疑似Sidecopy組織以軍事題材針對印度發起攻擊

Siecopy組織主要活動于南亞地區，被檢測到的最早活動時間最早是2019初。為對抗來自印度的Sidewinder組織而出現，在早期的活動行動中的TTP模擬自Sidewinder，因此該行動得名Sidecopy。

該組織自披露起就非常活躍，隨著活動次數增多，在2021年7月來自Cisco Talos報告將此攻擊者作為獨立組織對后續的活動進行跟蹤，命名延用了最早的行動名，稱之為Sidecopy組織。

概述

近期安恒威脅情報中心捕獲到一起來自南亞地區的攻擊活動。攻擊者在惡意代碼內將代碼的執行時區固定在印度標準時區，可以推測這是一起針對印度軍方的攻擊。

在樣本運行后，會從網絡下載偽裝文件，文件的內容為印度軍官的服役記錄。同時下載數據文件到本地解密后執行，最終加載后門文件。

結合目標選取以及活動時間重合度，該攻擊活動疑似來自于Sidecopy組織。

樣本分析

在編譯信息上的命名為pdf.exe，不過投遞時使用的命名為Er Sheet Anurag bajpai.exe。此樣本是個下載器，由C#編寫。主要的功能是下載最終載荷以及下載并打開誘餌文件。

 樣本做了一些簡單的反調試和針對性設置，惡意代碼運行前會檢測是否處于印度標準時區：

在簡單檢查之后進入主要代碼，先從

"https://secure256[.]net/pdf/ServicedetailforDARevision.pdf"地址下載欺騙PDF文件至"C:\ProgramData"后打開：

欺騙文件的內容和題目一致，是印度軍官的服役記錄。

同時自"https://secure256[.]net/ver4.mp3"地址下載下一步的惡意文件，解密寫入新文件名為"music.mp3"并啟動，隨后刪除下載的源文件：

加密方式比較簡單，主要是AES加密：

解密后得到最后的后門樣本，MD5：66dace2660e1b1da6f0e7529e9681596

   啟動前的運行環境檢查與下載器的差不多，也會檢測是否處于印度標準時區，隨后執行后續代碼：

   運行后收集包括用戶名信息、內外網IP地址、系統信息、殺毒軟件列表、機型信息等發回遠控端，并加入Startup文件夾實現持續化：

   配置的信息寫在Booklist類內。該樣本配置的C2地址為45.147.228[.]195，與此前捕獲到的樣本相同，端口改到了5524。

    遠控的功能相較于9月份披露的樣本

（https://blog.cyble.com/2021/09/14/apt-group-targets-indian-defense-officials-through-enhanced-ttps/），未作更新，依舊是遠程執行程序、指定文件下載路徑、下載文件、獲取進程列表等。

除此之外，捕獲到另一個偽裝成TrackPost發票通知的樣本，啟用后門為同一個，該樣本MD5：3365d7f306693a4466ed8ff6546fceb7

   也是由C#編寫的啟動器，相較于之前的樣本，該樣本的誘餌信息是利用代碼編寫的彈窗，迷惑性更強。

   內容為數碼產品的購買發票，貨幣單位為印度盧比，可以看出同樣針對印度。

總結

   Sidecopy在近期針對印度軍方頻繁發起攻擊，該組織的武器庫包含多種攻擊武器包括以及多款C#插件。本次攻擊的攻擊者在目標選取及攻擊活動時間與Sidecopy的攻擊行動重合度較高，本次攻擊以及攻擊中使用的武器疑似來自于Sidecopy組織。

防御建議

   安恒APT攻擊預警平臺能夠發現已知或未知威脅，平臺能實時監控、捕獲和分析惡意文件或程序的威脅性，并能夠對郵件投遞、漏洞利用、安裝植入、回連控制等各個階段關聯的木馬等惡意樣本進行強有力的監測。

   同時，平臺根據雙向流量分析、智能的機器學習、高效的沙箱動態分析、豐富的特征庫、全面的檢測策略、海量的威脅情報等，對網絡流量進行深度分析。檢測能力完整覆蓋整個APT攻擊鏈，有效發現APT攻擊、未知威脅及用戶關心的網絡安全事件。

   安恒主機衛士EDR通過“平臺+端”分布式部署，“進程阻斷+誘餌引擎”雙引擎防御已知及未知類型威脅。

IOC