SideCopy组织最新攻击武器披露(3)
时间:2023-01-10 03:00 来源:网络整理 作者:采集插件 点击:次
远程终端 二、归属研判 1.本次攻击流程与SideCopy组织的以往攻击流程呈现出高度一致性,都是以zip文件为入口诱导点击恶意的lnk文件,从而远程加载hta文件,该脚本无文件反射加载dll,dll文件的功能为释放诱饵文件和恶意载荷,接着复制系统白文件并启动从而劫持dll执行,最终加载RAT执行。 2.释放文件的方式和以前样本采用了完全相同的方法即先base64解码再解压缩,而且都采用了批处理的方式来添加注册表实现自启动,其函数的部分参数名也完全一致,例如。 另外需要特别注意的是,该组织释放的伪装文件命名方式常为xxx.pdf.docx,通常都会在.docx前面加入.pdf,以迷惑用户,本次捕获的样本也不例外。 3.通过对dll文件分析发现其PDB路径(c:userszombiedocumentsvisual studio 2013ProjectsthedllReleasethedll.pdb)与《Suspected Pakistani Actor Compromises Indian Power Company With New ReverseRat》[1]一文中提到的PDB中的username一致,均为“zombie”,该文章认为该PDB与 SideCopy组织有关。 4.该组织常使用开源木马作为RAT,如AllaKore和CetaRAT等,本次使用基于Golang的开源木马Spark作为最终RAT,结合以前有使用过基于Golang的Linux窃密工具的经历,综上,我们将其归纳到SideCopy组织。 SideCopy组织近年来攻击活动频繁,其攻击武器也涵盖了多种语言,如C#、Delphi、GoLang。本次攻击最终载荷采用了全新的基于Golang开源的Spark木马。Golang作为一款可移植性强的语言,能满足不同平台的需求,并且能较好的干扰安全人员的分析。目前虽然少有APT组织在Windows端使用这类木马,但是不代表可以忽略此类型的攻击。 此外,本次攻击中SideCopy组织将恶意文件托管在谷歌云端硬盘,并通过谷歌邮箱分享下载链接来迷惑用户,说明该组织在伪装方面也是下足了功夫,不遗余力的针对南亚国家相关部门进行多次攻击,体现出其幕后组织意志的坚定性与目标的一致性。 附录 IOC 8bda519e8283d8557d7c44d4e76e8c63 0c500ae37ddcac48262c3c35d787a4f1 b3fd3d932fa7af749f4a0eb52a8dd811 dfc7ee57c86d0eac5b31ce30a763b745 dbfcbc2360c3e6a3b3db0de9a109a0fd 6551d710955dfd62da40f52fb3bd146chttps://theboxart.xyz/auth/icvgOpijn/crises/ drivetools.xyz:8050参考 360高级威胁研究院 原文始发于微信公众号(360威胁情报中心):SideCopy组织最新攻击武器披露 (责任编辑:admin) |