矛头持续指向印度国防部,Sidecopy加入CVE-2023-38831漏洞利用攻击队列
文档编号
DBAPP-LY-23102001
关键词
Sidecopy、APT
发布日期
2023年10月22日
更新日期
2023年10月24日
分析团队
安恒研究院猎影实验室
01
事件背景
Sidecopy是具有南亚某国背景的APT组织,因其TTPs模仿敌对国APT组织Sidewinder而得名。
Sidecopy自2019年以来一直活跃,主要针对印度政府、军事机构和国防部相关人员进行网络攻击,下发包括CetaRAT、ReverseRAT、DetaRAT、AllakoreRAT等在内的多款远控木马进行情报收集活动。
近日,猎影实验室捕获到Sidecopy组织最新的攻击活动,该活动使用同一C2服务器,但拥有两种攻击链:
利用WinRAR的CVE-2023-38831漏洞,直接触发执行该组织常用的远控木马程序Allakore RAT;
延续此前的攻击手法,以钓鱼邮件分发包含恶意LNK文件的压缩包,LNK文件运行后下载HTA文件,进而释放诱饵文件及远控木马DRAT。
02
诱饵分析
CVE-2023-38831漏洞利用链中的PDF诱饵文件名为Achievements_of_DMA.pdf,该诱饵文件以AIANGOs组织(All India Association of Non-Gazetted Officers,即全印度非宪报官员协会)的名义,向印度政府、国防部相关人员发送印度和平抗议方案为主题的信件。因此我们认为,此次攻击活动仍然针对印度国防部相关人员。
LNK文件利用链中的PDF诱饵文件内容,以沙特医疗代表团身份与印度国防部武装部队讨论医疗支出。
相同的PDF文件在该组织今年4月的攻击活动中曾被使用,差异点在于后续执行的远控木马拥有完全不同的代码结构与执行指令。
另一LNK文件利用链中释放的PDF文件如下,内容与国家战略情报局的重要指示相关。
03
攻击分析
CVE-2023-38831漏洞利用链
Sidecopy在此次活动中利用了WinRAR的漏洞CVE-2023-38831进行攻击,漏洞利用文件如下图所示,包括诱饵PDF文件及一个同名的文件夹。
在该同名文件夹下放置有可执行文件,可执行文件名称与诱饵文件类似,采用典型的双重扩展名,但特殊之处在于第一个扩展名后多了位空格。
此种方式正是触发CVE-2023-38831漏洞的利用方式。在受害者通过低版本的WinRAR软件(6.23版本以下)查看该压缩包中的PDF文件时,同名的可执行文件即被执行。
Group-IB称该漏洞最早在2023年4月份已经被网络犯罪集团组织利用用于金融交易犯罪,分发多种商业恶意软件。
目前我们跟踪到的利用该漏洞的APT组织还包括东亚APT组织Konni、东南亚APT组织Saaiwc、东欧APT组织APT29,以及我们新发现的APT组织Skeleton Wolf(指路:神秘组织利用WinRAR最新漏洞,俄方政府再遭网络攻击)。
安恒云沙箱可检出该漏洞利用相关的样本,对Sidecopy此次攻击活动利用的样本检测结果如下:
经分析,通过漏洞利用执行的Achievements_of_DMA.pdf .exe文件为Allakore RAT远控木马,是Sidecopy常用的一款远控工具。
该恶意软件功能包括:键盘记录、捕获屏幕截图、列出文件夹和文件、上传/下载文件、窃取剪贴板数据、获取/更换壁纸。
捕获的AllaKore RAT连接访问地址38.242.149[.]89,目标端口9828,安恒云沙箱检测出该文件为AllaKore远控木马:
04
关联分析
LNK文件利用链1
我们通过安恒安全星图平台对上述样本进行关联分析后发现,该C2地址关联到另一ZIP文件DocScanner-Oct.zip,其包含有仿冒PDF文件的恶意LNK文件。
当目标双击执行LNK文件后,将访问远程链接https://www.rockwellroyalhomes\[.\]com/js/content/,之后重定向到https://www.rockwellroyalhomes\[.\]com/js/content/msfnt.hta,下载下一阶段HTA文件到本地。
HTA文件执行流程同我们此前披露(指路:Sidecopy近期针对印度国防、军事部门下发新后门FetaRAT的活动分析),依然为创建BAT文件,将后续释放的EXE路径写入注册表开机自启目录,同时释放PDF文件以迷惑用户。
最后执行的远控木马中包含PDB路径:d:\Projects\C#\D-Rat\DRat Client\Tenure\obj\Release\MSEclipse.pdb ,因此我们将该远控木马称为DRAT。该木马程序由.NET平台开发,链接与上述样本同一远程C2地址38.242.149[.]89,端口号为61101。
此样本采用BASE64编码远控IP,并且使用凯撒密码算法混淆了相关字符串。
混淆字符串的函数如下:对于小写字母,采用凯撒密码算法还原,大写字母保留7位的偏移。
根据C2指令,木马程序可以完成信息文件收集、文件下载、执行等操作。
下图为混淆指令字符串后的指令处理函数:
大部分指令都经过了字符串混淆,还原后指令和操作对应如下:
指令
操作
getPnformitica
获取主机信息
sup
发送supconfirm信息,表明可接收指令的状态
close
发送确认关闭指令并退出
Raamindina
确实是否是运行状态
delw
删除指定文件
enterWath
进入指定目录
backWath
返回目录
drivesSist
检索磁盘等信息
fdl
上传文件属性信息
fdlJonfirm
上传文件数据
fup
接收文件
fupexec
指令2:接收文件并执行
supexec
指令1:接收文件并执行
根据诱饵文件的内容等推断,此次攻击活动很有可能是针对印度的政府、国防和军事机构相关人员,结合攻击手法和关联拓线分析,可以将该活动归因于APT组织Sidecopy。
LNK文件利用链2
我们捕获到该组织使用的另一LNK文件利用链的攻击逻辑基本同上:检测本机杀软、解码解压PDF文件到本地并打开、上传本机杀软信息至hxxps://sunfireglobal[.]in/public/assests/files/auth/av、最后下载后续负载执行。
05
思考总结
Sidecopy组织自披露以来攻击活动频繁,其武器库种类繁多但攻击流程单一,此次在攻击流程中使用WinRAR的CVE-2023-38831漏洞,意味着该组织对既有攻击方式和武器库进行的持续更新。
另一方面,由于WinRAR应用范围广,该漏洞利用较为简单,能够很好地适用于钓鱼邮件附件,我们预测今后会有越来越多包括APT组织、勒索组织在内的黑客犯罪团伙利用该漏洞进行攻击。
猎影实验室提醒广大用户朋友,不运行未知来源的邮件附件。如有需要鉴别的未知来源样本,可以投递至安恒云沙箱查看判别结果后再进行后续操作。猎影实验室将持续对全球APT组织进行持续跟踪,专注发现并披露各类威胁事件。
“
防范建议
鉴于样本触发WinRAR漏洞(CVE-2023-38831)的影响版本为小于6.23版本,可升级WinRAR版本至大于等于6.23
鉴于恶意程序行为:可查看Windows注册表路径HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,观察是否存在C:\Users\admin\AppData\Roaming\Msfront\Msfront.exe启动项,进行取证排查,确认危害后删除;排查C:\ProgramData\Settings\路径是否存在cdrzip.exe或C:\ProgramData\HP\路径是否存在rekeywiz.exe、jquery.hta、jscy.hta的可疑文件或进程,排除正常应用,确认危害后删除。
“
安恒信息产品已集成能力
目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成。
针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
AiLPHA分析平台V5.0.0及以上版本
AiNTA设备V1.2.2及以上版本
AXDR平台V2.0.3及以上版本
APT设备V2.0.67及以上版本
EDR产品V2.0.17及以上版本
安恒信息再次提醒广大用户,请谨慎对待互联网中来历不明的文件,如有需要,可上传至安恒云沙箱https://sandbox.dbappsecurity.com.cn,进行文件黑白判别或恶意软件家族归因分析
安恒云沙箱反馈与合作请联系:sandbox@dbappsecurity.com.cn
往期推荐