SideCopy组织自2020年被披露以来长期处于活跃之中,并主要针对印度国防、外交等部门持续发动网络攻击。近期,360高级威胁研究院发现了该组织针对Windows和Linux系统进行无差别攻击,并且部分载荷是支持Windows和Linux双平台的远控工具。
在Linux环境下,初始攻击样本为含有恶意ELF文件的ZIP压缩包文件,运行其中的ELF文件会下载关于印度国防部的诱饵文档,同时下载一个由Python打包的双平台攻击武器,该武器具备完整的远控功能。在Windows环境下,攻击者还是一如既往的含有恶意LNK的ZIP压缩文件,受害者点击其中LNK文件后会下载恶意代码从而开启一段复杂多阶段的攻击链,最终释放远控组件,从而完成窃密活动。
一、攻击活动分析
1. Linux攻击样本
1.1 攻击流程分析
本轮攻击中,SideCopy组织针对ELF文件会命名诱惑性名称,如DocScanner_AUG_2023․pdf,诱导用户在Linux环境中执行ELF样本,ELF运行后会下载诱饵文档,并且继续下载后续ELF恶意样本,并设置持久化,从而实现窃密行为。经分析后续下载的ELF文件为Python打包的 RAT文件,并且该RAT的Python代码支持Linux和Windows双平台。
1.2 恶意载荷分析
近期我们获取了多个恶意ELF文件,但是功能都大同小异,现以其中一个ELF文件分析,该文件基本信息如下:
通过溯源分析发现该ELF文件是从远端地址(https://www.rockwellroyalhomes.com/crm/asset/css/files/doc/)进行下载后解压获取,该域名后续也会用于恶意ELF文件加载诱饵文档的地址。DocScanner_AUG_2023.pdf是一个使用Go编译的可执行文件,其主要作用是从远端地址(https://www.rockwellroyalhomes.com/crm/asset/css/files/pdf/)下载诱饵文档DocScanner_AUG_2023.pdf并打开,诱饵文档具体内容如下所示:
接着从远端(https://www.rockwellroyalhomes.com/crm/asset/css/files/files/)下载后续恶意ELF文件updates,并crontab设置持久化。
进一步下载的ELF文件updates文件MD5为b992b03b0942658a516439b56afbf41a,是一个python打包的ELF文件,对该ELF文件进行反编译之后,发现源码是一个远控程序,并且支持Windows与Linux双系统。通过导入的config文件,发现该远控C&C服务器是http://38.242.220.166:9012,并且PERSIST(持久化)开关为TRUE。
该ELF文件运行后首先进行必要的初始化操作,例如获取platform,uid,hostname,username等。然后根据PERSIST开关(该开关存在配置文件中)判断是否进行持久化。根据不同的平台设计了两套持久化方案,针对Linux平台,利用~/.config/autostart机制进行持久化,针对Windows平台,通过HKCU\Software\Microsoft\Windows\CurrentVersion\Run注册表进行持久化。
然后向C&C发送握手请求,URL格式为http://38.242.220.166:9012/api/uid/hello,并将主机的platform,hostname,username信息发送给服务端。将接收的数据按照空格进行分割,并将分割之后的第1个数据作为Command,剩下的为参数。根据分析,该远控共有12个有效指令。
其中部分命令(如上传文件)执行后,会将获取的结果上传上 http://38.242.220.166:9012/api/uid/upload。
2. Windows攻击样本
2.1 攻击流程分析
针对Windows平台,攻击者还是一如既往的使用恶意压缩包作为攻击入口,其压缩包中包含恶意LNK,并且使用了各种各样的诱导文件名,如“DocScanner-Oct.pdf.lnk”,样本运行后会远程下载执行hta文件,然后通过层层释放最终加载D-RAT等远控,从而实现窃密行为。具体执行流程如下:
2.2 恶意载荷分析
其中一个压缩包文件信息如下所示:
执行压缩包中的LNK文件,会从远端下载hta文件,该hta文件主要功能是反射加载preBotHta.dll文件,DLL文件会进一步释放诱饵文档、D-RAT等文件,整个过程会与我们早期披露的SideCopy组织攻击样本(https://mp.weixin.qq.com/s/qkWD_X3aFPURThJqu7lbvg)存在很类似的地方,只是加载的最终载荷不一样,因此这里不再详细叙述整个执行过程。需要注意的是,preBotHta.dll文件以前版本中会判断各种杀软执行绕过策略,本次样本简化了相关操作,直接设置注册表自启动加载后门程序。
另外从代码还可以看出上次攻击方式的痕迹依然保留,但是这部分代码未执行,应该是攻击者在之前版本上进行修改,未完全删除所导致。
最后释放的远控程序D-RAT信息如下:
程序执行时先base64解出C&C:38.242.149.89,然后发起请求,等待服务器响应并执行相关指令,客户端以密文的方式存储指令,需先解出相应明文再与服务端返回的指令进行判断,相关指令信息如下。
二、归属研判
1.本次Windows上攻击流程与SideCopy组织的以往攻击流程呈现出高度一致性,都是通过lnk文件加载hta脚本,然后无文件反射加载dll,通过多层加载,最终执行RAT。并且lnk文件命名方式(*.pdf.lnk)都与以前捕获的SideCopy组织样本类似,只是最终加载的载荷有所变化。
2.本次攻击中SideCopy组织使用ELF文件用于下载Python打包的双平台攻击武器,这与过去SideCopy组织使用Linux桌面启动文件进行下载双平台攻击武器有类似,并且在此过程中都会下载诱饵文件进行伪装。3.SideCopy组织在本轮攻击中针对Windows和Linux平台,多次使用了相同域名(rockwellroyalhomes[.]com)来下载诱饵文档及部分载荷,并且针对不同平台使用的最终载荷与之前的披露的SideCopy攻击武器代码上存在相同之处。需要说明的是,Windows版本中的载荷里面还存在大量之前版本的代码,但是未执行,说明后期版本可能是SideCopy组织基于之前版本改写的,但未完全删除干净。4.攻击者使用的部分伪装内容与之前SideCopy组织使用的一致,并且印度受害者符合组织攻击目标。综上,我们将其归纳到SideCopy组织。
总结
SideCopy组织近年来攻击活动频繁,其攻击武器涵盖了多种语言,如C#、Delphi、GoLang、Python等,攻击能力也覆盖包括Linux、Windows和MacOS在内的多个平台,并且攻击组件也一直在变化更新,说明该组织针对攻击目标不遗余力。 在本轮攻击活动中,SideCopy组织同时针对Windows和Linux平台进行渗透以达到窃密目的。此外,攻击组织为了节省开发时间,部分载荷使用支持双平台的攻击武器,本次攻击中针对Linux下的 ELF文件就属于这类,由Python编写,并经过PyInstaller工具编译为ELF文件格式,这类远控也支持通过PyInstaller工具编译Windows下可执行程序。另外,该类型的双平台攻击武器具备完整的远控功能,因此不管在各类系统下,针对未知文件都不要轻易运行,要保持足够的警惕。此外,本文披露的相关恶意代码、C&C只是SideCopy组织部分攻击过程中使用的最新武器,后期我们也将持续关注该组织的攻击活动。
IOC
linux
b992b03b0942658a516439b56afbf41a
9375e3c13c85990822d2f09a66b551d9
088b89698b122454666e542b1e1d92a4
42a696ef6f7acf0919fea9748029a966
ebbc1c4fc617cda7a0b341b12f45d2ad Windows
eb07a0063132e33c66d0984266afb8ae
75f9d86638c8634620f02370c28b8ebd
02c444c5c1ad25e6823457705e8820bc
ff13b07eaabf984900e88657f5d193e6 C&C
https://www.rockwellroyalhomes[.]com/js/content/
https://www.rockwellroyalhomes[.]com/crm/asset/css/files/doc/DocScanner_AUG_2023.zip
https://www.rockwellroyalhomes[.]com/crm/asset/css/files/file/
https://occoman[.]com/wp-admin/css/colors/ocean/files/files/
38.242.149.89:61101
38.242.220.166:9012
161.97.151.220:7015参考链接:https://mp.weixin.qq.com/s/H7_ZnPbTeF5TKMLmEBSNlA
图片来源网络目标可联系删除
