【安全资讯】SideCopy组织在针对印度政府机构的攻击中使用CetaRAT

安恒威胁情报中心 2021-10-14 14:11:07 241人浏览

引言

CetaRAT首次出现在SideCopy APT的攻击活动中,攻击者使用恶意的LNK文件来传播恶意软件,从而窃取用户数据。随后CetaRAT软件不断扩大其活动。近期,该木马针对印度政府机构的攻击有所增加。

 

简况

CetaRAT感染链始于带有恶意邮件附件的鱼叉式网络钓鱼邮件。附件可以是一个zip文件,从一个远程的、已泄露的 URL 下载 HTA 文件。一旦使用mshta.exe执行此 HTA 文件,它就会释放并执行启动活动的 CetaRAT 负载。攻击链如下图:

HTA 文件执行后,具有以下两种不同的行为:

1.在“C:\\ProgramData”位置创建并执行 JavaScript 文件。脚本代码打开与政府主题相关的诱饵文档。同时在Startup位置释放CetaRAT可执行有效载荷,脚本操作可以休眠一段时间并重新启动机器。

2.在受害机器的C盘随机名称文件夹中创建并运行批处理文件,该批处理文件包含添加注册表项的指令以及CetaRAT可执行有效载荷的路径。在这个变体中,可执行文件在%AppData/Roaming%位置释放。

 

CetaRAT是基于C#的 RAT 家族,可以窃取用户数据并发送至攻击者的C2服务器。CetaRAT一旦执行,将使用Getans()函数检查机器中正在运行的 AV 产品详细信息,并将详细信息发送到攻击者的服务器。Start() 函数从机器上获取详细信息,如计算机名称、操作系统详细信息、IP 地址、内存详细信息、正在运行的处理器等,并将其上传到攻击者的服务器。这些数据在上传到C2之前会被加密。该 RAT 活动中使用 GetIP() 函数来获取正在运行的机器的 IP 信息。

 

在之后的攻击活动中,CetaRAT使用命令来窃取数据和文件操作,以下是命令的详细信息:

  1. Download-使用下载数据
  2. Upload-将数据上传到CnC服务器。
  3. Download .exe-用于下载然后执行文件。
  4. Created-用于在系统上创建目录。
  5. Delete-用于删除文件或数据。
  6. Screen-对系统进行截图
  7. Run-用于运行代码。
  8. Shellexe-用于执行有效载荷
  9. Process-技术信息。
  10. Pkill-终止正在运行的进程。
  11. List-进程列表。

 

总结

CetaRAT正积极扩展攻击范围,窃取受害者数据,这些数据可能会泄漏政府组织的敏感信息,从而在这些国家发起影响更大的攻击活动。研究人员建议用户不要访问可疑的电子邮件或附件,并将 AV 软件保持最新状态,以保护系统免受此类复杂恶意软件的侵害。

失陷指标(IOC)14
APT CetaRAT SideCopy 印度 政府部门
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。