背景
2020年9月,Quick Heal披露了一起针对印度国防军和武装部队陆军人员的窃密行动并将其命名为Operation SideCopy(以下简称SideCopy)。
由于该活动中几乎所有 C2 资产都属于 Contabo GmbH(一家位于西欧的互联网服务提供商),服务器名称与已披露的 Transparent Tribe(透明部落)APT组织报告中的服务器名称相似,并且SideCopy与Transparent Tribe攻击目标均为印度国防部,因此Quick Heal小组认为该组织或与Transparent Tribe 组织有联系[1]。
时隔一年,奇安信威胁情报中心红雨滴团队发现一起针对印度军方的攻击活动[2],其样本与Transparent Tribe组织存在弱关联。随后,Cyble研究人员发现了相似度极高的样本,并将其归因为SideCopy组织[3]。
概述
Transparent Tribe(透明部落)于2016年2月由Proofpoint披露并命名,该组织也被称为ProjectM、C-Major,被广泛认为来自南亚地区某国。其最早的活动可以追溯到2012年,主要针对印度政府、军队或相关组织,利用社会工程学进行鱼叉攻击,向目标投递带有VBA的DOC、XLS文档,执行诱饵文档中的宏代码释放执行CrimsonRAT、PeppyRAT等,窃取相关资料信息。
SideCopy组织至少自 2019 年以来一直在活动,与Transparent Tribe同属南亚地区某国,主要针对南亚国家的国防军和武装部队人员、陆军人员进行窃密活动。该组织通过模仿响尾蛇APT的攻击手法来传递自己的恶意软件,并以此达到迷惑安全人员的目的。
近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到Transparent Tribe组织的针对印度国防军官的攻击样本。根据红雨滴研究人员深入分析,发现Transparent Tribe组织与SideCopy居然共用了网络基础设施,两者可能属于统一组织或有较大关联。此次的攻击活动有如下特点:
- 该组织将其downloader伪装为印度政府国家信息中心的Kavach身份验证程序,Crimson RAT也利用Chrome图标进行了伪装;
- 此次攻击使用的Crimson RAT存在较多与恶意软件的更新、下发和执行有关的C2指令;
- 在downloader下载Crimson RAT及诱饵的域名下发现了疑似SideCopy组织的样本。
样本分析
样本信息
本次捕获的Transparent Tribe(透明部落)组织样本均为C# 64位程序。其中Kavach.exe为该组织使用的下载器,从远程下载诱饵及CrimsonRAT到本机执行。样本具体信息如下:
| - | - | - |
|---|---|---|
| 文件名 | MD5 | 图标 |
| Kavach.exe(downloader) | a9df1271f8dbcd392280ce24a35df475 |  |
| chrme ziIIa.exe(CrimsonRAT) | 56302037bdffd6bf5a0d06bfc71de559 |  |
详细分析
Downloader
Transparent Tribe(透明部落)使用印度政府国家信息中心的Kavach身份验证程序的图标对其Downloader进行伪装:
并在入口处将样本运行时区限制在印度,可见本次攻击活动针对印度地区用户进行:
在成功运行后,样本会先从hxxp://dsoi.info/downloads/chrmeziIIa.exe下载文件到“C:\programdata”目录执行,chrmeziIIa.exe即为透明部落常用的CrimsonRAT。
接着样本会继续从hxxp://download.kavach-app.in/Kavach.msi下载正常的kavach安装程序执行,以达到迷惑受害者的目的。
CrimsonRAT
此次样本与以往捕获的CrimsonRAT样本[4]执行流程大体类似,通过Form1_FormClosing()方法将CrimsonRAT写入注册表实现持久化:
通过Form1_Load()方法开始执行恶意行为:
连接的C2为194.163.129[.]89,使用的端口包括:14427、6826、20835、16824、24716。
C2下发的指令格式如下图,对其进行格式统一化处理后变为C2指令表中的格式。
C2指令表如下:
| - | - |
|---|---|
| 指令名称 | 功能 |
| $fl5dr $fl5sdr |
枚举指定目录下可访问的子目录并回传 |
| $rn5nkl $rn5snkl $ke5erun $ke5serun |
检测是否存在相关恶意软件"rwidthca",存在则运行 |
| $pr5ocl $pr5socl |
获取当前进程信息并回传 |
| $us5brun $us5sbrun $rn5nub $rn5snub |
检测是否存在相关恶意软件"dararvw",存在则运行 |
| $th5umb $th5sumb |
获取指定目录下的图片并回传 |
| $sc5rsz $sc5srsz |
设置截屏大小参数 |
| $sc5ren $sc5sren |
持续截屏并回传 |
| $cl5ping $cl5sping |
获取本机时间 |
| $cl5rcmd $cl5srcmd $cn5ls $cn5sls |
设置RAT参数 |
| $sy5sky $sy5ssky |
获取本机已植入的相关恶意软件 |
| $cl5stats $cl5sstats |
获取本机感染情况并回传 |
| $ru5nf $ru5snf |
执行指定路径下的程序 |
| $in5fo $in5sfo |
获取本机信息和RAT版本并回传 |
| $do5wf $do5swf $do5wr $do5swr |
下载文件到指定路径 |
| $af5ile $af5sile $fi5le $fi5sle |
若存在指定文件,则回传相关数据 |
| $di5rs $di5srs |
获取驱动信息 |
| $fl5es $fl5ses |
获取指定路径下的文件并回传 |
| $cs5crsn $cs5scrsn |
截屏并回传 |
| $st5ops $st5sops |
停止截屏 |
| $us5bwrm $up5datu $uk5log $sn5dps $au5dio |
更新恶意软件 |
| $ud5lt $ud5slt |
下发相关恶意软件 |
| $fi5lsz $fi5slsz |
获取指定路径下的文件信息并回传 |
| $de5lt $de5slt |
删除指定路径的文件 |
| $li5stf $li5sstf |
枚举指定目录下包含指定扩展名的文件并回传 |
与以往不同的是,此次攻击样本存在相当一部分指令与其恶意组件的更新、下发和执行有关,具体见上文C2指令表。
同时,样本在连接C2前也会先检测本机上是否已存在恶意软件:
关联分析
在关联分析过程中,我们在Transparent Tribe(透明部落)托管Crimson RAT和诱饵文件的两个服务器download.kavach-app[.]in及dsoi[.]info上均发现了SideCopy组织的恶意样本。
download.kavach-app[.]in上的SideCopy样本由其主域名kavach-app[.]in及其相似域名kavach-app[.]com通过钓鱼链接下发。
几个域名间的关系如下表:
| - | - | - |
|---|---|---|
| 域名 | 相关链接 | 说明 |
| download.kavach-app[.]in | hxxp://download.kavach-app.in/Kavach.msi(透明部落诱饵) hxxp://download.kavach-app.in/kavach_install_win7.exe(透明部落Downloader) hxxp://download.kavach-app.in/chrmeziIIa.exe(透明部落CrimsonRAT) hxxp://download.kavach-app.in/Kavach.exe(SideCopy) |
同时托管了透明部落和SideCopy组织的恶意样本 |
| dsoi[.]info | hxxp://dsoi.info/downloads/chrmeziIIa.exe(透明部落CrimsonRAT) hxxp://dsoi.info/downloads/Kavach.exe(SideCopy) |
同时托管了透明部落和SideCopy组织的恶意样本 |
| kavach-app[.]in | hxxps://kavach-app.in/kavachapp/download_kavach.php(钓鱼链接,跳转至hxxp://download.kavach-app.in/Kavach.exe下载恶意文件) hxxps://kavach-app.in/auth/ver4.mp3(SideCopy第二阶段载荷) |
SideCopy组织的钓鱼网站,通过钓鱼链接下载该组织托管在download.kavach-app[.]in的恶意样本 |
| kavach-app[.]com | hxxps://kavach-app.in/kavachapp/download_kavach.php(钓鱼链接,跳转至hxxp://download.kavach-app.in/Kavach.exe下载恶意文件) | SideCopy组织的钓鱼网站,通过钓鱼链接下载该组织托管在download.kavach-app[.]in的恶意样本 |
download.kavach-app[.]in域名相关样本分析
通过奇安信威胁情报中心 ALPHA 威胁分析平台搜索Transparent Tribe(透明部落)组织用于托管其诱饵文件(即正常的kavach安装程序)的二级域名download.kavach-app[.]in,发现该域名同时也托管了本次捕获的downloader、CrimsonRAT样本。
进一步分析发现该二级域名的主域名kavach-app[.]in为伪造的Kavach下载网站,用于钓鱼。
点击钓鱼链接会下载名为Kavach.exe的恶意文件,经分析该文件疑似归属于SideCopy组织。截至完稿时,kavach-app[.]in及download.kavach-app[.]in均已无法访问。
该钓鱼链接hxxps://kavach-app.in/kavachapp/download_kavach.php最终跳转至hxxps://download.kavach-app.in/Kavach.exe下载SideCopy的恶意文件。而download.kavach-app[.]in正是此次攻击活动中Transparent Tribe用于托管downloader、CrimsonRAT、诱饵文件的远程服务器。
通过hxxps://download.kavach-app.in/Kavach.exe链接下载的SideCopy组织样本信息如下:
| - | - | - | - |
|---|---|---|---|
| 文件名 | MD5 | 大小 | 图标 |
| Kavach.exe | 6b552512c1b6479d8a8ae526663af864 | 143 MB |  |
与透明部落相关样本类似,该样本也伪装为印度政府国家信息中心的Kavach身份验证程序。但不同的是SideCopy组织将正常Kavach程序作为资源数据存放在样本本身,导致其样本大小接近正常Kavach程序,因而更具迷惑性。
该样本为32位C#程序,会从“hxxps://kavach-app.in/auth/ver4.mp3”下载下一阶段的载荷,解密为SmcLink.exe执行。这与Cyble研究人员发现的SideCopy组织样本[3]高度相似。
并且C2与我们去年发现的针对印度军方的攻击活动样本[2]相同:45[.]147.228.195
此外,我们发现其相似域名kavach-app[.]com也被Sidocopy组织用于钓鱼,该页面上存在多个钓鱼链接,均与kavach-app[.]in域名下的钓鱼链接相同,最终都跳转至hxxps://download.kavach-app.in/Kavach.exe下载该组织的恶意样本。
dsoi[.]info域名相关样本分析
通过VT数据发现,Transparent Tribe组织此次攻击样本下载CrimsonRAT的域名dsoi[.]info下也托管了SideCopy组织的样本。
该域名为假冒印度国防军官服务机构(DSOI) Dhaula Kuan的虚假网站,真正的网站域名为dsoi.org.in。
虽然虚假网站dsoi[.]info上托管了Transparent Tribe和SideCopy组织的恶意软件,但我们暂未发现存在相关钓鱼链接。
总结
SideCopy首次披露时就因其服务器名称与Transparent Tribe(透明部落)组织相似,且同属南亚地区某国,攻击目标也相同,而被认为是Transparent Tribe组织的一个分支。直到2021年7月,Cisco Talos研究人员才将其作为独立组织进行跟踪,并称其为SideCopy APT组织。近期,我们发现Transparent Tribe组织与SideCopy同时利用相同的基础设施托管恶意软件,使用同一诱饵主题针对同一目标进行攻击,二者之间的关系值得我们进一步深入研究。
此次捕获的样本主要针对南亚印度地区开展攻击活动,国内用户不受其影响。奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOCs
MD5
a9df1271f8dbcd392280ce24a35df475
56302037bdffd6bf5a0d06bfc71de559
6b552512c1b6479d8a8ae526663af864
8a7f22735b0a4c62e962b2e100cfbe43
C2
194.163.129[.]89:
45[.]147.228.195:5524
URL
hxxp://dsoi.info/downloads/chrmeziIIa.exe
hxxp://download.kavach-app.in/Kavach.msi
hxxp://download.kavach-app.in/kavach_install_win7.exe
hxxp://download.kavach-app.in/chrmeziIIa.exe
hxxp://download.kavach-app.in/Kavach.exe
hxxps://kavach-app.in/auth/ver4.mp3
hxxp://dsoi.info/downloads/Kavach.exe
钓鱼链接
hxxps://kavach-app.in/kavachapp/download_kavach.php
参考链接
- https://www.seqrite.com/documents/en/white-papers/FSeqrite-WhitePaper-Operation-SideCopy.pdf
- https://ti.qianxin.com/blog/articles/Another-Targeted-Attack-on-India's-Defense-Ministry/
- https://blog.cyble.com/2021/09/14/apt-group-targets-indian-defense-officials-through-enhanced-ttps/
- https://mp.weixin.qq.com/s/epRGn7Tnzx6rXihYXIpIIg