|
Sidecopy近期针对印度国防、军事部门下发新后门FetaRAT的活动分析 |
|
|
内部编号 |
DBAPP-LY-23060701 |
|
关键词 |
Sidecopy、APT |
|
发布日期 |
2023年6月7日 |
|
更新日期 |
2023年6月7日 |
|
分析团队 |
安恒信息中央研究院猎影实验室 |
01
事件背景
Sidecopy是具有南亚某国政府背景的APT组织,因模仿南亚地区另一APT组织Sidewinder的攻击手法而得名。该组织主要围绕印度政府、国防、军事相关人员进行网络攻击,下发CetaRAT、DetaRAT、AllakoreRAT等多种远控木马以窃取目标主机信息。2022年,Sidecopy组织被发现与同地区组织TransparentTribe共用基础设施,加之攻击目标相同,二者同属的谜底就此揭开。
近日,安恒信息中央研究院猎影实验室发现了该组织最新的攻击活动,近期攻击活动的大致特征如下:
1. 本次捕获的加载器样本均托管在一家印度翻译公司网站上;
2. 捕获到的样本主要针对印度国防、军事;
3. 活动初始阶段攻击手法仍以模仿Sidewinder为主,后续下发新的C#后门木马,我们将其命名为FetaRAT,该后门主要功能包括网络连接、信息获取、文件上传、截屏上传、播放音频等。
02
样本概述
此次捕获样本具有如下攻击流程:
1. 初始文件为包含有LNK文件的ZIP文件,用户解压运行LNK文件后将下载第二阶段HTA文件到本机;
2. 第二阶段HTA文件将在内存加载恶意DLL文件,释放诱饵文件、下载第三阶段有效负载并根据本机杀软安装情况设置有效负载的持久化运行方式;
3. 第三阶段将在本机运行两种有效负载,一种是由HTA文件内存加载的C#编译的DLL文件,另一种则是通过白加黑的方式,利用白文件credwiz.exe加载的C++编译的DLL文件;
4. 其中C#编译的DLL文件为新的后门木马FetaRAT,其功能包括上传本机信息、本机文件,下载、运行远程文件,删除、移动指定文件,获取本机进程信息、录屏、截屏,任意指令执行,关机,播放音频文件等;
5. C++编译的DLL文件为加载器,功能为上传本机信息以及获取后续负载执行。
将上述执行流程绘制成流程图如下:
03
详细分析
样本诱饵
样本1上传自新加坡,运行后释放的诱饵文件主题为DRDO(Defense Research and Development Organization 印度政府负责国防技术研发的机构)国防产品推广。DPP(Defense Procurement Procedure)是管理印度国防产品采购的程序。因此样本疑似用于针对印度国防相关人员。
样本2中LNK文件名为Asigma dated 22 May 23 .pdf.lnk,其中Asigma是印度陆军专用的通讯工具。
诱饵文件内容为印度政府批准的学习人员名单及对应课程。疑似针对印度政府、军事相关人员。
样本3初始文件同样为ZIP文件,解压运行其中的LNK文件后将下载后续HTA文件,释放诱饵图片如下
第一阶段
ZIP文件
初始阶段的ZIP文件疑似作为钓鱼邮件附件下发,文件中包含有伪装成DOCX文档的LNK文件
LNK文件
LNK文件运行后将通过mshta.exe运行托管在链接hxxps://elfinindia.com/wp-includes/files/man上的HTA文件
第二阶段
HTA文件:d.hta
通过注册表检查本机.NET Framework版本,v2.0.50727/v4.0.30319
通过WMI获取杀软名称和状态
base64解码数据后内存加载恶意DLL,传入的参数1为诱饵文件压缩编码后的数据,参数2为诱饵文档名称,参数3为反病毒软件信息
DLL文件:preBotHta.dll
上传杀软信息至hxxps://elfinindia.com/wp-includes/files/oth/av/?anvaro={N.A|N/A}
将传入的文件数据解码并解压到Invitation Performa vis a vis feedback.doc(诱饵文件)并打开
检查本机是否存在文件夹C:\Users\Public\cdnews\、DLL文件C:\Users\Public\cdnews\DUser.dll、以及HTA文件C:\Users\Public\cdnews\xml.hta
读取hxxps://elfinindia.com/wp-includes/files/oth/hl数据至C:\Users\Public\cdnews\qt5.otd,并返回本地qt5.otd文件内容。将qt5.otd文件内容写入%temp%\temp.jpg,并移动至C:\Users\Public\cdnews\xml.hta
休眠5秒后关闭所有相关进程,随后启动xml.hta
检测传入的反病毒软件信息中是否包含Seqrite,Kaspersky,Quick,Avast,Avira,Bitdefender或WindowsDefender
目标机器若存在反病毒软件Kaspersky,则复制本地白文件C:\Windows\{SysWOW64|System32}\credwiz.exe到指定目录C:\Users\Public\cdnews\cdrzip.exe
读取hxxps://elfinindia.com/wp-includes/files/oth/dl数据至C:\Users\Public\cdnews\qt5.otd,并返回qt5.otd文件内容。后将qt5.otd文件内容写入%temp%\xmls.dat,移动至C:\Users\Public\cdnews\DUser.dll
读取LnkFileBytes_dll数据,解码解压至..\Startup\vxm.lnk,该LNK文件的图标伪装成命令行程序,用于实现开机自启动C:UsersPubliccdnewscdrzip.exe
读取LnkFileBytes_ht数据,将解码解压至..\Startup\zxm.lnk,该LNK文件用于实现开机自启动C:UsersPublicxml.hta
最后通过powershell.exe启动C:\ProgramData\Settings\cdrzip.exe
目标机器若存在反病毒软件Quick或Seqrite,则复制本地白文件到指定目录(同上),读取hxxps://elfinindia.com/wp-includes/files/oth/dl数据至C:\Users\Public\cdnews\qt5.otd,并返回qt5.otd文件内容。后将qt5.otd文件内容写入C:\Users\Public\cdnews\rech.dat
设置开机自启动LNK文件,用于运行cdrzip.exe以及xml.hta(同上),将C:\Users\Public\cdnews\rech.dat重命名为C:\Users\Public\cdnews\DUser.dll
休眠1s后启动C:\Users\Public\cdnews\cdrzip.exe
目标机器若存在其他反病毒软件Avast,Avira,Bitdefender或WindowsDefender,则复制本地白文件到指定目录,读取hxxps://elfinindia.com/wp-includes/files/oth/dl数据至C:\Users\Public\cdnews\qt5.otd,并返回qt5.otd文件内容。后将qt5.otd文件内容写入xmls.dat,移动至C:\Users\Public\cdnews\DUser.dll(同Kaspersky)
读取BatFileBytes_dll数据,解码解压至%temp%\zlip.php,休眠1s后将文件重命名为test.bat,随后启动BAT文件。读取BatFileBytes_ht数据,重复上述操作。该BAT文件用于通过注册表实现cdrzip.exe与xml.hta文件自启动
休眠1s后启动C:\Users\Public\cdnews\cdrzip.exe
释放文件及文件路径如下,其中qt5.otd、test.bat文件已被自删除。
处置建议
用户可查看本机C:/Users/Public/cdnews/目录,若存在cdrzip.exe、xml.hta等文件,建议删除相关文件并结束相关进程。
|
文件名 |
文件路径 |
|
qt5.otd |
C:/Users/Public/cdnews/ |
|
cdrzip.exe |
C:/Users/Public/cdnews/ |
|
temp.jpg->xml.hta |
%temp%->C:/Users/Public/cdnews/ |
|
xmls.dat->DUser.dll (Kaspersky&其他) rech.dat->DUser.dll (Quick&Seqrite) |
%temp%->C:/Users/Public/cdnews/ |
|
vxm.lnk/zxm.lnk |
../Startup/ |
|
zlip.php->test.bat |
%temp% |
相关文件说明如下:
|
文件名 |
文件说明 |
|
qt5.otd |
缓存文件,用于存放hxxps://elfinindia.com/wp-includes/files/oth/{dl|hl}读取到的数据 |
|
cdrzip.exe |
白文件,来自本地文件夹C:/Windows/{SysWOW64|System32}/credwiz.exe |
|
temp.jpg->xml.hta |
hxxps://elfinindia.com/wp-includes/files/oth/hl数据,后重命名为xml.hta |
|
xmls.dat->DUser.dll |
hxxps://elfinindia.com/wp-includes/files/oth/dl数据,后重命名为DUser.dll |
|
vxm.lnk/zxm.lnk |
用于cdrzip.exe、xml.hta文件开机自启动 |
|
zlip.php->test.bat |
用于通过注册表设置cdrzip.exe与xml.hta开机自启动,后重命名为test.bat |
第三阶段
HTA文件:xml.hta
文件运行后将在内存中加载与上一阶段同名的DLL文件preBotHta.dll(FetaRAT)
DLL文件:preBotHta.dll (FetaRAT)
文件运行后尝试连接到服务器144.126.143.138:9813
确认连接后,FetaRAT将接收服务器传送的指令或文件,其中指令以 ‘§’ 符号进行分割
相关指令如下:
1. 指令以”getinfo-“开头:获取本机IP地址、机器名、用户名、系统版本上传
2. 指令为”dc”:关闭套接字连接后重连
3. 指令为”lsdrives”:获取驱动器信息上传
4. 指令以”lsfiles-“开头:获取指定文件信息上传
5. 指令以”dlfile;”开头:上传指定文件到服务器
6. 指令以”exfile;”开头:运行指定文件
7. 指令以”upfile;”开头:下载数据流到本地%AppData%\Song.wav
8. 指令以”dtfile;”开头:删除指定文件
9. 指令以”rmfile;”开头:移动指定文件到指定目录
10.指令以”procview;”开头:获取进程信息上传
11.指令以”scrnshot;”开头:获取屏幕截图上传
12.指令以”cmd;”开头:任意cmd指令执行
13.指令以”control;”开头:关机
14.指令为”sysinfo;”:获取BIOS、CPU、Mac地址等信息上传
15.指令以”screenspy;”开头:持续获取屏幕截图上传
16.指令以”stopscreenspy;”开头:停止传输屏幕截图
17.指令以”play;”开头:通过SoundPlayer播放Song.wav文件
DLL文件:DUser.dll
收集本机信息,以POST方式上传至144.126.143.138:8080/user_details,其中数据以字符串”—-cpp-httplib-multipart-data-{随机字符}”为boundary,包含本机ID、系统版本、反病毒软件等信息
之后以GET方式访问144.126.143.138:8080/streamcmd?AV={}&Version={}&detail={}&.OS={},依据返回数据中的文件名将数据写入到%temp%目录
最后通过CreateProcess启动后续负载
基础设施
本次发现样本均托管在一家印度翻译公司elfinindia的网站上,该网站使用WordPress搭建。Sidecopy组织通过入侵合法网站托管恶意文件,增加了攻击者的匿名性和隐蔽性,使其更难被追踪和发现。
04
防范建议
猎影实验室提醒广大用户朋友,不运行未知来源的邮件附件。猎影实验室将持续对全球APT组织进行持续跟踪,专注发现并披露各类威胁事件。
针对该事件中的最新IoC情报,中央研究院安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
(1)AiLPHA分析平台V5.0.0及以上版本
(2)AiNTA设备V1.2.2及以上版本
(3)AXDR平台V2.0.3及以上版本
(4)APT设备V2.0.67及以上版本
(5)EDR产品V2.0.17及以上版本
安恒云沙盒已集成了该事件中的样本特征。用户可通过云沙盒:https://sandbox.dbappsecurity.com.cn/,对可疑文件进行免费分析,并下载分析报告。
安恒在线云沙盒反馈与合作请联系:[email protected]
中央研究院肩负着安恒信息研究与创新前沿的重任,以打造国际一流的安全企业研究院为目标,面向数字经济时代,洞悉技术发展趋势与重大机会、推进原子化安全能力建设、打造安全应用新兴场景、提升工程技术效能,为安恒信息高质量、高增长发展持续注入源动力,使安恒信息成为数字经济时代的安全屏障!
原文始发于微信公众号(网络安全研究宅基地):Sidecopy近期针对印度国防、军事部门下发新后门FetaRAT的活动分析
