SideCopy组织自2020年被披露以来长期处于活跃之中,并主要针对印度国防、外交等部门持续发动网络攻击。近期,360高级威胁研究院发现了该组织针对Windows和Linux系统进行无差别攻击,并且部分载荷是支持Windows和Linux双平台的远控工具。
在Linux环境下,初始攻击样本为含有恶意ELF文件的ZIP压缩包文件,运行其中的ELF文件会下载关于印度国防部的诱饵文档,同时下载一个由Python打包的双平台攻击武器,该武器具备完整的远控功能。在Windows环境下,攻击者还是一如既往的含有恶意LNK的ZIP压缩文件,受害者点击其中LNK文件后会下载恶意代码从而开启一段复杂多阶段的攻击链,最终释放远控组件,从而完成窃密活动。
本轮攻击中,SideCopy组织针对ELF文件会命名诱惑性名称,如DocScanner_AUG_2023․pdf,诱导用户在Linux环境中执行ELF样本,ELF运行后会下载诱饵文档,并且继续下载后续ELF恶意样本,并设置持久化,从而实现窃密行为。经分析后续下载的ELF文件为Python打包的 RAT文件,并且该RAT的Python代码支持Linux和Windows双平台。
近期我们获取了多个恶意ELF文件,但是功能都大同小异,现以其中一个ELF文件分析,该文件基本信息如下:
MD5
9375e3c13c85990822d2f09a66b551d9
文件名称
DocScanner_AUG_2023․pdf
文件大小
4.37 MB (4,587,520 字节)
文件类型
ELF
通过溯源分析发现该ELF文件是从远端地址(https://www.rockwellroyalhomes.com/crm/asset/css/files/doc/)进行下载后解压获取,该域名后续也会用于恶意ELF文件加载诱饵文档的地址。
DocScanner_AUG_2023.pdf是一个使用Go编译的可执行文件,其主要作用是从远端地址(https://www.rockwellroyalhomes.com/crm/asset/css/files/pdf/)下载诱饵文档DocScanner\_AUG\_2023.pdf并打开,诱饵文档具体内容如下所示:
接着从远端(https://www.rockwellroyalhomes.com/crm/asset/css/files/files/)下载后续恶意ELF文件updates,并crontab设置持久化。
进一步下载的ELF文件updates文件MD5为b992b03b0942658a516439b56afbf41a,是一个python打包的ELF文件,对该ELF文件进行反编译之后,发现源码是一个远控程序,并且支持Windows与Linux双系统。通过导入的config文件,发现该远控C&C服务器是http://38.242.220.166:9012,并且PERSIST(持久化)开关为TRUE。
该ELF文件运行后首先进行必要的初始化操作,例如获取platform,uid,hostname,username等。然后根据PERSIST开关(该开关存在配置文件中)判断是否进行持久化。根据不同的平台设计了两套持久化方案,针对Linux平台,利用~/.config/autostart机制进行持久化,针对Windows平台,通过HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run注册表进行持久化。
然后向C&C发送握手请求,URL格式为http://38.242.220.166:9012/api/uid/hello,并将主机的platform,hostname,username信息发送给服务端。
将接收的数据按照空格进行分割,并将分割之后的第1个数据作为Command,剩下的为参数。根据分析,该远控共有12个有效指令。
命令
功能
cd
进入指定目录
upload
上传文件
download
下载文件
clean
清除自身
persist
持久化
exit
退出进程
crack
退出,并清除自身
listall
打印文件目录并上传
zip
打包文件
python
执行python文件或命令
screenshot
截图
help
帮助信息
其中部分命令(如上传文件)执行后,会将获取的结果上传上 http://38.242.220.166:9012/api/uid/upload。
针对Windows平台,攻击者还是一如既往的使用恶意压缩包作为攻击入口,其压缩包中包含恶意LNK,并且使用了各种各样的诱导文件名,如“DocScanner-Oct.pdf.lnk”,样本运行后会远程下载执行hta文件,然后通过层层释放最终加载D-RAT等远控,从而实现窃密行为。具体执行流程如下:
其中一个压缩包文件信息如下所示:
MD5
eb07a0063132e33c66d0984266afb8ae
文件大小
317.86 KB (325484)字节
文件格式
ZIP
文件名
DocScanner-Oct.zip
执行压缩包中的LNK文件,会从远端下载hta文件,该hta文件主要功能是反射加载preBotHta.dll文件,DLL文件会进一步释放诱饵文档、D-RAT等文件,整个过程会与我们早期披露的SideCopy组织攻击样本(https://mp.weixin.qq.com/s/qkWD\_X3aFPURThJqu7lbvg)存在很类似的地方,只是加载的最终载荷不一样,因此这里不再详细叙述整个执行过程。需要注意的是,preBotHta.dll文件以前版本中会判断各种杀软执行绕过策略,本次样本简化了相关操作,直接设置注册表自启动加载后门程序。
另外从代码还可以看出上次攻击方式的痕迹依然保留,但是这部分代码未执行,应该是攻击者在之前版本上进行修改,未完全删除所导致。
最后释放的远控程序D-RAT信息如下:
MD5
ff13b07eaabf984900e88657f5d193e6
文件大小
3.23MB (3390976)字节
文件格式
exe
文件名
Msfront.exe
程序执行时先base64解出C&C:38.242.149.89,然后发起请求,等待服务器响应并执行相关指令,客户端以密文的方式存储指令,需先解出相应明文再与服务端返回的指令进行判断,相关指令信息如下。
加密指令
解密后的明文指令
描述
nlaPumvytpapjh
getInformitica
获取电脑基本信息
zbw
sup
发送“supconfirm”字符串
jsvzl
close
发送“closure”字符并退出
Rhhtpukpuh§
Kaamindina§
写数据到文件流
kls~
del~
删除文件或目录
lualyWhao~
enterPath~
获取目录文件信息
ihjrWhao~
backPath~
获取当前目录路径
kypclzSpza
drivesList
获取磁盘信息
mks~
fdl~
获取文件大小
mksJvumpyt
fdlConfirm
窃取文件
fup~
yni~
上传文件
mbwlelj~
fupexec~
上传并执行
二、归属研判
1.本次Windows上攻击流程与SideCopy组织的以往攻击流程呈现出高度一致性,都是通过lnk文件加载hta脚本,然后无文件反射加载dll,通过多层加载,最终执行RAT。并且lnk文件命名方式(*.pdf.lnk)都与以前捕获的SideCopy组织样本类似,只是最终加载的载荷有所变化。
2.本次攻击中SideCopy组织使用ELF文件用于下载Python打包的双平台攻击武器,这与过去SideCopy组织使用Linux桌面启动文件进行下载双平台攻击武器有类似,并且在此过程中都会下载诱饵文件进行伪装。
3.SideCopy组织在本轮攻击中针对Windows和Linux平台,多次使用了相同域名(rockwellroyalhomes[.]com)来下载诱饵文档及部分载荷,并且针对不同平台使用的最终载荷与之前的披露的SideCopy攻击武器代码上存在相同之处。需要说明的是,Windows版本中的载荷里面还存在大量之前版本的代码,但是未执行,说明后期版本可能是SideCopy组织基于之前版本改写的,但未完全删除干净。
4.攻击者使用的部分伪装内容与之前SideCopy组织使用的一致,并且印度受害者符合组织攻击目标。
综上,我们将其归纳到SideCopy组织。
总结
SideCopy组织近年来攻击活动频繁,其攻击武器涵盖了多种语言,如C#、Delphi、GoLang、Python等,攻击能力也覆盖包括Linux、Windows和MacOS在内的多个平台,并且攻击组件也一直在变化更新,说明该组织针对攻击目标不遗余力。
在本轮攻击活动中,SideCopy组织同时针对Windows和Linux平台进行渗透以达到窃密目的。此外,攻击组织为了节省开发时间,部分载荷使用支持双平台的攻击武器,本次攻击中针对Linux下的 ELF文件就属于这类,由Python编写,并经过PyInstaller工具编译为ELF文件格式,这类远控也支持通过PyInstaller工具编译Windows下可执行程序。另外,该类型的双平台攻击武器具备完整的远控功能,因此不管在各类系统下,针对未知文件都不要轻易运行,要保持足够的警惕。
此外,本文披露的相关恶意代码、C&C只是SideCopy组织部分攻击过程中使用的最新武器,后期我们也将持续关注该组织的攻击活动。
360聚能过去20年实战经验及能力推出360安全云,目前,360安全云已实现对此类威胁的全面检出,全力守护千行百业数字安全。
附录 IOC
Linux:
b992b03b0942658a516439b56afbf41a
9375e3c13c85990822d2f09a66b551d9
088b89698b122454666e542b1e1d92a4
42a696ef6f7acf0919fea9748029a966
ebbc1c4fc617cda7a0b341b12f45d2ad
Windows:
eb07a0063132e33c66d0984266afb8ae
75f9d86638c8634620f02370c28b8ebd
02c444c5c1ad25e6823457705e8820bc
ff13b07eaabf984900e88657f5d193e6
C&C:
https://www.rockwellroyalhomes\[.\]com/js/content/
https://www.rockwellroyalhomes\[.\]com/crm/asset/css/files/doc/DocScanner\_AUG\_2023.zip
https://www.rockwellroyalhomes\[.\]com/crm/asset/css/files/file/
https://occoman\[.\]com/wp-admin/css/colors/ocean/files/files/
38.242.149.89:61101
38.242.220.166:9012
161.97.151.220:7015
360****高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
