记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

疑似Sidecopy组织以军事题材针对印度发起攻击

2021-11-16 13:07

事件背景

Sidecopy组织主要活动于南亚地区,被检测到的最早活动时间最早是2019年初。为对抗来自印度的Sidewinder组织而出现,在早期的活动行动中的TTP模拟自Sidewinder,因此该行动得名Sidecopy。

该组织自披露起就非常活跃,随着活动次数增多,在2021年7月来自Cisco Talos报告将此攻击者作为独立组织对后续的活动进行跟踪,命名延用了最早的行动名,称之为Sidecopy组织。

概述

近期安恒威胁情报中心捕获到一起来自南亚地区的攻击活动。攻击者在恶意代码内将代码的执行时区固定在印度标准时区,可以推测这是一起针对印度军方的攻击。

在样本运行后,会从网络下载伪装文件,文件的内容为印度军官的服役记录。同时下载数据文件到本地解密后执行,最终加载后门文件。

结合目标选取以及活动时间重合度,该攻击活动疑似来自于Sidecopy组织。

样本分析

MD5

47285fad72b725671074d9beeebc8bcd

文件名

Er Sheet Anurag bajpai.exe

在编译信息上的命名为pdf.exe,不过投递时使用的命名为Er Sheet Anurag bajpai.exe。此样本是个下载器,由C#编写。主要的功能是下载最终载荷以及下载并打开诱饵文件。

样本做了一些简单的反调试和针对性设置,恶意代码运行前会检测是否处于印度标准时区:

在简单检查之后进入主要代码,先从

"https://secure256[.]net/pdf/ServicedetailforDARevision.pdf"地址下载欺骗PDF文件至"C:\ProgramData"后打开:

欺骗文件的内容和题目一致,是印度军官的服役记录。

同时自"https://secure256[.]net/ver4.mp3"地址下载下一步的恶意文件,解密写入新文件名为"music.mp3"并启动,随后删除下载的源文件:

加密方式比较简单,主要是AES加密:

解密后得到最后的后门样本,MD5:66dace2660e1b1da6f0e7529e9681596

启动前的运行环境检查与下载器的差不多,也会检测是否处于印度标准时区,随后执行后续代码:

运行后收集包括用户名信息、内外网IP地址、系统信息、杀毒软件列表、机型信息等发回远控端,并加入Startup文件夹实现持续化:

配置的信息写在Booklist类内。该样本配置的C2地址为45.147.228[.]195,与此前捕获到的样本相同,端口改到了5524。

远控的功能相较于9月份披露的样本(https://blog.cyble.com/2021/09/14/apt-group-targets-indian-defense-officials-through-enhanced-ttps/),未作更新,依旧是远程执行程序、指定文件下载路径、下载文件、获取进程列表等。

除此之外,捕获到另一个伪装成TrackPost bill通知的样本,启用后门为同一个,该样本MD5:3365d7f306693a4466ed8ff6546fceb7

也是由C#编写的启动器,相较于之前的样本,该样本的诱饵信息是利用代码编写的弹窗,迷惑性更强。

内容为数码产品的购买bill,货币单位为印度卢比,可以看出同样针对印度。

总结

Sidecopy在近期针对印度军方频繁发起攻击,该组织的武器库包含多种攻击武器包括以及多款C#插件。本次攻击的攻击者在目标选取及攻击活动时间与Sidecopy的攻击行动重合度较高,本次攻击以及攻击中使用的武器疑似来自于Sidecopy组织。


知识来源: https://www.freebuf.com/news/304857.html

阅读:49479 | 评论:0 | 标签:攻击 军事

想收藏或者和大家分享这篇好文章→复制链接地址

“疑似Sidecopy组织以军事题材针对印度发起攻击”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁