长亭百川云 - 文章详情

SideCopy组织双平台渗透攻击活动分析

360威胁情报中心

70

2024-07-13

SideCopy组织自2020年被披露以来长期处于活跃之中,并主要针对印度国防、外交等部门持续发动网络攻击。近期,360高级威胁研究院发现了该组织针对Windows和Linux系统进行无差别攻击,并且部分载荷是支持Windows和Linux双平台的远控工具。

在Linux环境下,初始攻击样本为含有恶意ELF文件的ZIP压缩包文件,运行其中的ELF文件会下载关于印度国防部的诱饵文档,同时下载一个由Python打包的双平台攻击武器,该武器具备完整的远控功能。在Windows环境下,攻击者还是一如既往的含有恶意LNK的ZIP压缩文件,受害者点击其中LNK文件后会下载恶意代码从而开启一段复杂多阶段的攻击链,最终释放远控组件,从而完成窃密活动。

 一、攻击活动分析  

1. Linux攻击样本  

1.1 攻击流程分析  

本轮攻击中,SideCopy组织针对ELF文件会命名诱惑性名称,如DocScanner_AUG_2023․pdf,诱导用户在Linux环境中执行ELF样本,ELF运行后会下载诱饵文档,并且继续下载后续ELF恶意样本,并设置持久化,从而实现窃密行为。经分析后续下载的ELF文件为Python打包的 RAT文件,并且该RAT的Python代码支持Linux和Windows双平台。    

1.2 恶意载荷分析  

近期我们获取了多个恶意ELF文件,但是功能都大同小异,现以其中一个ELF文件分析,该文件基本信息如下:

MD5

9375e3c13c85990822d2f09a66b551d9

文件名称

DocScanner_AUG_2023․pdf

文件大小

4.37 MB  (4,587,520 字节)

文件类型

ELF

通过溯源分析发现该ELF文件是从远端地址(https://www.rockwellroyalhomes.com/crm/asset/css/files/doc/)进行下载后解压获取,该域名后续也会用于恶意ELF文件加载诱饵文档的地址。

DocScanner_AUG_2023.pdf是一个使用Go编译的可执行文件,其主要作用是从远端地址(https://www.rockwellroyalhomes.com/crm/asset/css/files/pdf/)下载诱饵文档DocScanner\_AUG\_2023.pdf并打开,诱饵文档具体内容如下所示:    

接着从远端(https://www.rockwellroyalhomes.com/crm/asset/css/files/files/)下载后续恶意ELF文件updates,并crontab设置持久化。

进一步下载的ELF文件updates文件MD5为b992b03b0942658a516439b56afbf41a,是一个python打包的ELF文件,对该ELF文件进行反编译之后,发现源码是一个远控程序,并且支持Windows与Linux双系统。通过导入的config文件,发现该远控C&C服务器是http://38.242.220.166:9012,并且PERSIST(持久化)开关为TRUE。    

该ELF文件运行后首先进行必要的初始化操作,例如获取platform,uid,hostname,username等。然后根据PERSIST开关(该开关存在配置文件中)判断是否进行持久化。根据不同的平台设计了两套持久化方案,针对Linux平台,利用~/.config/autostart机制进行持久化,针对Windows平台,通过HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run注册表进行持久化。

然后向C&C发送握手请求,URL格式为http://38.242.220.166:9012/api/uid/hello,并将主机的platform,hostname,username信息发送给服务端。

将接收的数据按照空格进行分割,并将分割之后的第1个数据作为Command,剩下的为参数。根据分析,该远控共有12个有效指令。 

命令

功能

cd

进入指定目录

upload

上传文件

download

下载文件

clean

清除自身

persist

持久化

exit

退出进程

crack

退出,并清除自身

listall

打印文件目录并上传

zip

打包文件

python

执行python文件或命令

screenshot

截图

help

帮助信息

其中部分命令(如上传文件)执行后,会将获取的结果上传上     http://38.242.220.166:9012/api/uid/upload。

2. Windows攻击样本  

2.1 攻击流程分析  

针对Windows平台,攻击者还是一如既往的使用恶意压缩包作为攻击入口,其压缩包中包含恶意LNK,并且使用了各种各样的诱导文件名,如“DocScanner-Oct.pdf.lnk”,样本运行后会远程下载执行hta文件,然后通过层层释放最终加载D-RAT等远控,从而实现窃密行为。具体执行流程如下:

2.2 恶意载荷分析  

其中一个压缩包文件信息如下所示:

MD5

eb07a0063132e33c66d0984266afb8ae

文件大小

317.86 KB  (325484)字节

文件格式

ZIP

文件名

DocScanner-Oct.zip

执行压缩包中的LNK文件,会从远端下载hta文件,该hta文件主要功能是反射加载preBotHta.dll文件,DLL文件会进一步释放诱饵文档、D-RAT等文件,整个过程会与我们早期披露的SideCopy组织攻击样本(https://mp.weixin.qq.com/s/qkWD\_X3aFPURThJqu7lbvg)存在很类似的地方,只是加载的最终载荷不一样,因此这里不再详细叙述整个执行过程。需要注意的是,preBotHta.dll文件以前版本中会判断各种杀软执行绕过策略,本次样本简化了相关操作,直接设置注册表自启动加载后门程序。    

另外从代码还可以看出上次攻击方式的痕迹依然保留,但是这部分代码未执行,应该是攻击者在之前版本上进行修改,未完全删除所导致。

最后释放的远控程序D-RAT信息如下:

MD5

ff13b07eaabf984900e88657f5d193e6

文件大小

3.23MB (3390976)字节

文件格式

exe

文件名

Msfront.exe

程序执行时先base64解出C&C:38.242.149.89,然后发起请求,等待服务器响应并执行相关指令,客户端以密文的方式存储指令,需先解出相应明文再与服务端返回的指令进行判断,相关指令信息如下。   

加密指令

解密后的明文指令

描述

nlaPumvytpapjh

getInformitica

获取电脑基本信息

zbw

sup

发送“supconfirm”字符串

jsvzl

close

发送“closure”字符并退出

Rhhtpukpuh§

Kaamindina§

写数据到文件流

kls~

del~

删除文件或目录

lualyWhao~

enterPath~

获取目录文件信息

ihjrWhao~

backPath~

获取当前目录路径

kypclzSpza

drivesList

获取磁盘信息

mks~

fdl~

获取文件大小

mksJvumpyt

fdlConfirm

窃取文件

fup~

yni~

上传文件

mbwlelj~

fupexec~

上传并执行

 二、归属研判   

1.本次Windows上攻击流程与SideCopy组织的以往攻击流程呈现出高度一致性,都是通过lnk文件加载hta脚本,然后无文件反射加载dll,通过多层加载,最终执行RAT。并且lnk文件命名方式(*.pdf.lnk)都与以前捕获的SideCopy组织样本类似,只是最终加载的载荷有所变化。

2.本次攻击中SideCopy组织使用ELF文件用于下载Python打包的双平台攻击武器,这与过去SideCopy组织使用Linux桌面启动文件进行下载双平台攻击武器有类似,并且在此过程中都会下载诱饵文件进行伪装。

3.SideCopy组织在本轮攻击中针对Windows和Linux平台,多次使用了相同域名(rockwellroyalhomes[.]com)来下载诱饵文档及部分载荷,并且针对不同平台使用的最终载荷与之前的披露的SideCopy攻击武器代码上存在相同之处。需要说明的是,Windows版本中的载荷里面还存在大量之前版本的代码,但是未执行,说明后期版本可能是SideCopy组织基于之前版本改写的,但未完全删除干净。

4.攻击者使用的部分伪装内容与之前SideCopy组织使用的一致,并且印度受害者符合组织攻击目标。

综上,我们将其归纳到SideCopy组织。

总结

SideCopy组织近年来攻击活动频繁,其攻击武器涵盖了多种语言,如C#、Delphi、GoLang、Python等,攻击能力也覆盖包括Linux、Windows和MacOS在内的多个平台,并且攻击组件也一直在变化更新,说明该组织针对攻击目标不遗余力。

在本轮攻击活动中,SideCopy组织同时针对Windows和Linux平台进行渗透以达到窃密目的。此外,攻击组织为了节省开发时间,部分载荷使用支持双平台的攻击武器,本次攻击中针对Linux下的 ELF文件就属于这类,由Python编写,并经过PyInstaller工具编译为ELF文件格式,这类远控也支持通过PyInstaller工具编译Windows下可执行程序。另外,该类型的双平台攻击武器具备完整的远控功能,因此不管在各类系统下,针对未知文件都不要轻易运行,要保持足够的警惕。

此外,本文披露的相关恶意代码、C&C只是SideCopy组织部分攻击过程中使用的最新武器,后期我们也将持续关注该组织的攻击活动。

360聚能过去20年实战经验及能力推出360安全云,目前,360安全云已实现对此类威胁的全面检出,全力守护千行百业数字安全。

附录 IOC

Linux:

b992b03b0942658a516439b56afbf41a

9375e3c13c85990822d2f09a66b551d9

088b89698b122454666e542b1e1d92a4

42a696ef6f7acf0919fea9748029a966

ebbc1c4fc617cda7a0b341b12f45d2ad       

Windows:

eb07a0063132e33c66d0984266afb8ae

75f9d86638c8634620f02370c28b8ebd

02c444c5c1ad25e6823457705e8820bc

ff13b07eaabf984900e88657f5d193e6 

C&C:

https://www.rockwellroyalhomes\[.\]com/js/content/

https://www.rockwellroyalhomes\[.\]com/crm/asset/css/files/doc/DocScanner\_AUG\_2023.zip

https://www.rockwellroyalhomes\[.\]com/crm/asset/css/files/file/

https://occoman\[.\]com/wp-admin/css/colors/ocean/files/files/

38.242.149.89:61101

38.242.220.166:9012

161.97.151.220:7015

360****高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2