网络安全研究人员发现从2019年以来正在进行的针对印度国防部门和武装人员的网络间谍活动的新证据,目的是窃取敏感信息。
攻击详情
该攻击被印度网络安全公司Quick Heal称为“ Operation SideCopy ” ,其攻击源于一个先进的持久威胁(APT)小组,该组织通过“复制”其他黑客攻击行为者(例如SideWinder)的战术成功地躲在了雷达之下 。
攻击锁定
利用Microsoft公式编辑器缺陷
该攻击活动的起点是带有嵌入式恶意附件的电子邮件(以包含LNK文件或Microsoft Word文档的ZIP文件的形式),该电子邮件通过一系列下载最终以有效负载的形式来触发感染链。
除了识别三个不同的感染链外,值得注意的是,其中一个利用了模板注入和Microsoft Equation Editor漏洞(CVE-2017-11882),这是Microsoft Office中存在20年的内存损坏问题,当成功利用时,即使没有用户交互,攻击者也可以在易受攻击的计算机上执行远程代码。
微软在2017年11月发布的补丁中解决了该问题。
与这类垃圾邮件活动一样,攻击还依靠一些社会工程手段诱使用户打开看似真实的Word文档,该文档声称与印度政府的国防生产政策有关。
此外,LNK文件具有双扩展名(“ Defence-Production-Policy-2020.docx.lnk”),并带有文档图标,从而诱使毫无戒心的受害者打开文件。
一旦打开,LNK文件就会滥用“ mshta.exe ”来执行在欺诈性网站上托管的恶意HTA(Microsoft HTML应用程序的缩写)文件,而HTA文件是使用称为CACTUSTORCH的开源有效负载生成工具 创建的。
多阶段恶意软件分发过程
第一阶段的HTA文件包含诱饵文档和执行该文档并下载第二阶段的HTA文件的恶意.NET模块,第二阶段的HTA文件又会在复制Microsoft的凭据还原和恢复实用程序之前检查是否存在流行的防病毒解决方案(“ credwiz.exe“)到受害者计算机上的其他文件夹,并修改注册表以在每次启动时运行复制的可执行文件。
因此,执行该文件时,不仅会侧加载恶意的“ DUser.dll”文件,还会启动RAT模块“ winms.exe”,这两个文件均从第二阶段HTA获得。
研究人员说:“该DUser.dll将通过TCP端口6102端口向IP地址'173.212.224.110'发起连接。”
“一旦连接成功,它将根据从C2收到的命令继续执行各种操作。例如,如果C2发送0,则它将收集计算机名,用户名,操作系统版本等并将其发送回到C2。”
Quick Heal的Seqrite团队指出,RAT与用Delphi编写的开源远程访问软件Allakore Remote共享了代码级的相似性,并指出该木马使用了Allakore的RFB(远程帧缓冲区)协议从受感染的系统中窃取数据。
OVER
此外,据称一些攻击链也丢弃了以前看不见的基于.NET的RAT(卡巴斯基 研究人员称为“ Crimson RAT” ),该RAT 具有多种功能,包括访问文件,剪贴板数据,杀死进程,甚至执行任意命令。
尽管命名DLL文件的方式与SideWinder组具有相似之处,但APT严重依赖于开源工具集和完全不同的C2基础结构,这使研究人员可以有把握地得出结论,认为威胁参与者是巴基斯坦裔,特别是巴基斯坦“Transparent Tribe”组织,最近与针对印度军事和政府人员的几次袭击有关。
“因此,我们怀疑这一行动的幕后行动者是“Transparent Tribe”APT小组的一部分(或部分),只是在抄袭其他威胁行动者的TTP来误导安全界。” Quick Heal说。
END
