SideCopy组织最新攻击武器披露
时间:2023-01-10 03:00 来源:网络整理 作者:采集插件 点击:次
SideCopy组织自2020年被披露以来长期处于活跃之中,并主要针对印度等南亚国家持续发动网络攻击。近期,360高级威胁研究院发现了该组织的最新攻击活动,通过对其分析发现本次攻击行动呈现出如下特点: 1、反射加载的DLL会向服务器反馈程序的执行流程,即主要功能是否成功执行,若失败则反馈异常; 2、恶意文件托管在谷歌云端硬盘,并且其下载链接通过谷歌邮箱传播,极具迷惑性; 3、在实际行动中罕见的发现该组织使用了基于Golang语言的Windows平台木马Spark RAT。 一、攻击活动分析 1.攻击流程分析完整的攻击流如下图所示: 攻击者制作钓鱼邮件诱导用户下载恶意压缩包,当受害者点击恶意压缩包中的lnk文件时,则远程下载执行hta文件。该hta文件采用无文件的方式反射加载携带参数的Goslek.dll,对参数解码依次释放诱饵文件,恶意msftedit.dll和恶意MicrosoftEdge.exe,接着复制mspaint.exe程序到指定目录并启动,该程序会侧加载msftedit.dll,进而通过DLL加载恶意RAT,值得注意的是该RAT是基于Golang编写的针对Windows平台的远控工具。 2.载荷投递分析 攻击者通过谷歌邮箱传播并诱导用户下载恶意程序, 其下载的文件相关信息如下: 文件名称 Documents.zip文件大小 2790162 字节 MD5 8bda519e8283d8557d7c44d4e76e8c63 下载链接 https://docs.google.com/a/mfa.gov.lk/uc?id=1ZQiWVLi9WtntfMWN-WLtxN9pZ_SY-te9&export=download 样本为ZIP格式的压缩包文件,其中含有伪装成pdf的恶意lnk文件,该lnk从恶意链接https://theboxart.xyz/auth/icvgOpijn/crises/下载后续载荷,解压后信息如下。 下载的恶意载荷内容如下: 执行时先base64解码并反射加载Goslek.dll,调用其Mybadhabits.adoreader()方法,参数依次为恶意RAT,恶意dll,诱饵文件,文件名。 Goslek.dll的功能为解码相关文件,并打开诱饵文件(%TEMP%docxcrises.pdf.docx)和执行恶意文件。 其中执行恶意文件的具体流程如下,先从网站获取当前网络出口IP地址并拼接到https://theboxart.xyz/auth/icvgOpijn/crises/errfraud.php?name=ipadr:后面再发送给服务器,接着将系统文件mspaint.exe文件复制到%AppData%LocalMicrosoftEdgeMicrosoftEdgemspaint.exe,作为白程序启动DLL,若复制出现异常则将异常反馈给服务器。 然后释放MSFTEDIT.dll ,成功释放DLL将设置url中的name参数的值为dlluploaded,反之则设置name为dllerror并报告异常。 (责任编辑:admin) |