SideCopy組織近期利用中印時事新聞的攻擊事件分析

詳細分析

背景

2020年9月，Quick Heal披露了一起針對印度國防軍和武裝部隊陸軍人員的竊密行動并將其命名為Operation SideCopy。

行動始于2019年初，其攻擊者主要以復制Sidewinder APT組織的TTPs進行攻擊，故被命名為Operation SideCopy。研究人員在此次活動中有如下發現：

1. 活動中幾乎所有C2都屬于Contabo GmbH托管服務提供商，該托管服務器在南亞地區的威脅組織中較受青睞，CrimsonRAT以及TransparentTribe其他武器都曾連接到Contabo GmbH；
2. Operation SideCopy在活動中所使用域名的命名方式與TransparentTribe非常相似，都為兩三個詞組成的短語；
3. Operation SideCopy與TransparentTribe攻擊目標均為印度國防部。因此Quick Heal研究人員認為行動或與Transparent Tribe 組織有聯系。

2021年7月，Cisco Talos研究人員已將該活動背后的攻擊者作為獨立組織進行跟蹤，并稱其為SideCopy APT組織。報告中披露了該組織多種攻擊武器包括CetaRAT、ReverseRAT、MargulasRAT、AllakoreRAT等，以及多款C#插件。

概述

近日，奇安信威脅情報中心紅雨滴團隊在日常威脅情報狩獵中再次捕獲了一批SideCopy以印度軍事相關話題為誘餌的攻擊樣本。

在此攻擊活動中，攻擊者主要以印度地區恐怖分子與士兵之間的沖突事故報告為主題，將下載器偽裝為圖片文件并通過釣魚郵件發送給受害者。

當受害者解壓并執行誘餌文件之后，程序將會從遠程服務器下載數據文件到本地并解密執行，最終加載SideCopy自有遠控軟件MargulasRAT。

樣本信息

本次捕獲的樣本主要是由C#編寫，樣本基本信息如下：

詳細分析

樣本將圖標設置為誘餌圖片，以偽裝成普通圖片文件引誘目標用戶點擊運行。

原始樣本是一個下載器，該下載器通過白名單的短鏈接https://tinyurl.com將真實URL進行隱藏，以此來規避殺軟的靜態查殺。

其短鏈接指向的URL如下：

通過對短鏈接所指向的數據進行下載以后，利用解密算法進行解密。

該解密算法疑似來自amido在Github開源的Amido.PreProcessor項目[1]。

誘餌

樣本首先將第一個短鏈接所指的數據文件下載到%AppData%/目錄下并命名為taswala.txt，經解密后在同目錄釋放一個誘餌圖片pic.png，隨后啟動線程打開pic.png以迷惑受害者。

持久化

同樣，第二個短鏈接所指的加密內容被保存為khat.txt，解密后保存為p.vbs并執行，其腳本內容如下：

其主要功能是將第三段短鏈接解密后的wnx.exe在注冊表中添加啟動項，隨后刪除該vbs腳本。該vbs腳本疑似來自BatchPatch網站[2]。

RAT

第三個短鏈接下載的加密內容解密后被保存在%ProgramData%目錄下，命名為wnx.exe，其同樣為C#編寫。該樣本實際為SideCopy常用的MargulasRAT。其通訊IP為62.171.187.53，端口為1443、2443、3443。

MargulasRAT首先和C2進行Socket連接，發送被感染機器的用戶名，系統版本，主機名等信息。

隨后接收C2返回的信息，經AES解密后執行遠控指令。

其指令對應的功能如下：

關聯分析

奇安信威脅情報中心對此次捕獲樣本攻擊手法，代碼邏輯層面分析，發現此次捕獲的攻擊樣本與SideCopy組織常用攻擊手法，惡意代碼基本一致。

其中遠控部分與Cisco Talos早期披露的MargulasRAT也高度類似，僅更改了遠控指令[3]。

通過對同類型的樣本進行溯源關聯分析，我們從樣本庫中關聯出一例與此次攻擊代碼幾乎一致的樣本，其未使用短鏈接進行偽裝，釋放的誘餌以及C2均為同一個，相關樣本信息如下：

同時，我們發現多例10月上傳的樣本，其中包括釋放與印度國防政策相關誘餌圖片的樣本。

此外，在對SideCopy組織進行溯源時我們發現，該組織有著較高的活躍度和抓熱點的能力。例如本次印度熱點事件發生的日期是10月11日，而10月13日便出現了以此事件為誘餌的攻擊樣本，可見該組織在嘗試利用話題熱度提高目標中招的幾率。

總結

SideCopy作為近年來才活躍在大眾視野范圍內的APT組織，其攻擊手法及武器代碼方面與同地域組織相比都較為青澀，且大多使用網絡上開源的代碼及工具。但種種跡象表明，SideCopy可能和透明部落之間還存在千絲萬縷的聯系，奇安信威脅情報中心會對其進行長期的溯源和跟進，及時發現安全威脅并快速響應處置。

此次捕獲的樣本主要針對南亞地區開展攻擊活動，國內用戶不受其影響。奇安信紅雨滴團隊提醒廣大用戶，切勿打開社交媒體分享的來歷不明的鏈接，不點擊執行未知來源的郵件附件，不運行夸張的標題的未知文件，不安裝非正規途徑來源的APP。做到及時備份重要文件，更新安裝補丁。

若需運行，安裝來歷不明的應用，可先通過奇安信威脅情報文件深度分析平臺（https://sandbox.ti.qianxin.com/sandbox/page）進行簡單判別。目前已支持包括Windows、安卓平臺在內的多種格式文件深度分析。