【安全资讯】SideCopy APT组织使用多种诱饵攻击南亚目标

安恒威胁情报中心 2021-12-03 14:43:55 435人浏览

引言

SideCopy是巴基斯坦的APT组织,至少自 2019 年以来一直活跃,主要针对南亚国家,尤其是印度和阿富汗。12月2日,研究人员披露了SideCopy组织的部分受害者、初始感染媒介以及窃取的数据类型。

 

简况

SideCopy APT 使用的诱饵通常是嵌入以下文件之一的存档文件:Lnk、Microsoft Publisher 或木马应用程序。这些诱饵可以分为两大类:

1.有针对性的诱饵:这些诱饵是专门为特定受害者设计的,尤其针对政府或军事官员。一些示例包括:“会见法国和英国驻阿富汗代表团”、“ERE 单位的电子邮件设施地址列表”、“印度国家教育研究与培训委员会课程”等。课程诱饵邮件如下:

 

 

2.通用诱饵:通用诱饵可能已用于垃圾邮件活动,收集电子邮件和凭据,以帮助攻击者进行进一步针对性攻击。示例诱饵包括显示女孩图片的恶意 lnk 文件、“英文签证申请表”、“简历诱饵”。显示女孩图片的浪漫诱饵如下图:

 

SideCopy组织主要针对印度次大陆的国防和武装部队人员,研究人员披露了该组织的受害者:

  • 阿富汗总统行政办公室 (AOP) 人员:SideCopy组织对 AOP 成员进行了有针对性的鱼叉式网络钓鱼攻击,并能够访问其中的 10 人,从不同的政府服务(例如mis.aop.gov.af内部服务、银行服务)窃取用户凭据(Maiwand Bank) 。
  • 阿富汗外交部:有证据表明,SideCopy组织感染了外交部的一名成员,但没有收集到任何数据。
  • 阿富汗财政部:SideCopy组织攻击了财政部的两名成员,收集个人账户,如谷歌和 Facebook 以及银行账户,还窃取了受密码保护的文档。
  • 阿富汗国家采购局 (NPA):攻击者感染了 NPA 中的一个人,并能够获得包括 Twitter、Facebook、Instagram、Pinterest、Google 和mis.aop.gov.af帐户在内的个人凭据。
  • 印度共享计算机:该组织疑似获得了印度共享计算机的访问权,并从政府和教育服务部门收集了大量凭据。

 

 

SideCopy APT窃取了与阿富汗政府相关的多个 Office 文档和数据库。攻击者从阿富汗外交部等机构的数据库窃取了外交签证和外交身份证,还窃取了几名阿富汗政府官员的身份证。泄露的文件包含政府官员的姓名、号码、电子邮件地址以及一些机密信件,机密信件可能被该组织用作未来的诱饵。

 

 

SideCopy用来发送给受害者的每个存档文件都被视为一个独特的包,每个包都有自己的负载,包括 hta 和可执行文件。攻击者有一个名为“Scout”的系统来监控每个包裹。Scout系统中有一个显示所有受感染机器的仪表板。仪表板显示统计信息,包括受害者的 IP 地址、包名称、操作系统版本、用户代理、浏览器信息、国家和受害者状态。此外,攻击者使用一个名为 Crusader 的不同仪表板来监控 Action RAT 统计数据。

 

 

攻击者使用了三种不同的方法作为其初始感染媒介:lnk 文件、Microsoft Publisher 文件和木马应用程序。攻击者疑似对名为“ 3Dviewer ”的图像查看器应用程序进行了木马处理,除了可以加载和显示图片的正常功能外,还使用 Mshta 下载并执行恶意 HTA 文件。攻击者还使用了一个新的用 C++ 编写的 信息窃取器AuTo Stealer。

 

总结

SideCopy APT 一直在积极针对南亚的政府和军事官员发起攻击。该组织主要使用存档文件来针对垃圾邮件或鱼叉式网络钓鱼活动中的受害者。存档文件通常具有嵌入式 lnk、Office 或木马应用程序,用于调用 mshta 下载和执行 hta 文件。

 

 

失陷指标(IOC)27
APT SideCopy 南亚 政府部门 外交 国防
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。