SideCopy伪装注册邀请表格进行攻击

APT 1年前 (2023) admin
374 0 0

SideCopy

SideCopy组织从2020年9月被安全厂商Quick Heal发布报告披露了以来一直持续保持活跃,当时其针对印度国防部门发起攻击,攻击最早可以回溯到2019年,因为攻击手法模仿APT-C-24(响尾蛇)组织,所以其攻击行动被命名为SideCopy。

SideCopy主要针对印度的国防、军事进行窃密活动,其在早期的攻击活动主要通过模仿响尾蛇组织的攻击手法,并以此迷惑安全研究人员。

其一直被怀疑是APT-C-56(透明部落)的下属组织,在今年年初,透明部落与SideCopy被发现利用相同的基础设施并使用相同主题针对相似目标行动。

360高级威胁研究院监测到了SideCopy在早期伪装注册邀请表格的攻击活动样本。我们推测是之前行动未被发现的样本,样本利用诱饵文档最终释放木马。

 一、攻击活动分析  

1.攻击流程分析  

利用伪装邀请表格的诱饵文档的攻击活动通过dropper释放credwiz后侧加载同一文件夹下的duser对中招用户持续监控。

2.载荷投递分析  

2.1伪装文档  

我们捕获的样本名字是rf.rtf,是文档标题Registration Form的缩写,文档内容是一个注册邀请表格,要求用户填写姓名、邮箱。

SideCopy伪装注册邀请表格进行攻击

打开文档后,其利用CVE-2017-11882漏洞,启动公式编辑器进程EQNEDT32.EXE释放WORDICON.exe文件,释放DUser.dll和credwiz.exe,最后与C&C链接并释放木马。

2.2 Dropper文件Wordicon.exe  

释放到C:WindowsTasks的PE文件的主要功能是释放credwiz和duser文件。首先遍历进程判断是否存在这两个文件。

SideCopy伪装注册邀请表格进行攻击

创建C:ProgramDataMicrosoftSDK文件夹。

SideCopy伪装注册邀请表格进行攻击

判断Git目录下是否已经存在这两个文件,如果有则删除,通过这个条件判断,我们推断恶意样本至少还有一个版本会释放到Git目录。

SideCopy伪装注册邀请表格进行攻击

随后释放EntryFile的BAT文件并运行,该文件主要功能是将credwiz文件伪装注册为System Update Schedule计划任务并持久驻留。

SideCopy伪装注册邀请表格进行攻击

最终拷贝duser文件和credwiz文件,并启动credwiz.exe。

SideCopy伪装注册邀请表格进行攻击

SideCopy伪装注册邀请表格进行攻击

2.3 白文件credwiz.exe  

Credwiz.exe是一个合法的Windows文件,被拷贝到C:ProgramDataMicrosoftSDK后当Credwiz被执行时,它会以DLL Side-loading方法加载在同一文件夹中的恶意duser.dll文件。

SideCopy伪装注册邀请表格进行攻击

2.4 Duser.dll  

Duser的主要功能是网络通信,首先初始化网络连接。

SideCopy伪装注册邀请表格进行攻击

随后删除之前释放的恶意样本,减少木马被发现的可能。

SideCopy伪装注册邀请表格进行攻击

最后循环与网络通信,虽然C&C已经失效,我们无法继续验证后续攻击组件,但是在之前被发现的攻击活动duser并不承担控制木马工作,我们推测其会继续接收RAT并进行数据传输。

SideCopy伪装注册邀请表格进行攻击

 二、归属研判  

通过C&C以及攻击流程关联将这次的行动样本归属于SideCopy组织。

1.C&C关联  

本次攻击活动中duser所使用的C&C在之前的攻击活动中已经被披露过。

2.攻击手段流程、组件特征关联      

通过credwiz旁侧加载duser并进行攻击的手段是SideCopy组件常用的。

一般SideCopy组织早期多使用C++、delphi编写组件,后期有部分用C#编写,与之相反,响尾蛇组织的攻击木马一般采用C#编写。我们此次捕获的wordicon和duser是用delphi和C++编写。

SideCopy伪装注册邀请表格进行攻击

SideCopy伪装注册邀请表格进行攻击


总结

APT组织之间相互伪装、攻击的事件时有发生,主要是为了迷惑安全厂商分析人员,达到避免暴露自身的目的。SideCopy组织曾被发现多次模仿响尾蛇的攻击方式,是否印度组织也会模仿透明部落进行攻击活动?我们也将持续关注。

附录 IOC

60C75258F301C14D45D32D153812EA97

8c774d546aa3faf98769e5599c15d3f8

A325AB168BB6797EF00137241155D07C

ed598487bdf0a8fa9dcc3f8395e84e1a

144.91.65.100:80

144.91.65.100:6102







360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):SideCopy伪装注册邀请表格进行攻击

版权声明:admin 发表于 2023年5月11日 上午11:38。
转载请注明:SideCopy伪装注册邀请表格进行攻击 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...