【安全资讯】“SideCopy”武器库更新:基于Golang的Linux窃密工具浮出水面

匿名用户 2022-01-24 09:15:04 754人浏览

引言

研究人员在日常威胁狩猎中捕获到一例SideCopy组织针对Linux平台的攻击样本。此次捕获样本由Go语言编写而不是Python,功能较为单一,仅实现了对目标受害者主机目录的扫描和窃取。

 

 

简况

本次捕获到的样本均为Linux 64位系统的ELF文件。本文将此次捕获到的样本分为两类,两类样本在基本结构、功能上大抵相似,不同之处在于其中一类样本获取了本机IP地址并进行了持久化操作。

 

 

以第一类样本,即不包含持久化操作的样本34d9dff0aa80f6ea7eea6f491d493fa3为例进行分析。样本运行后将获取当前用户信息,以及主目录,并判断是否存在“/tmp/lists.txt”文件。若“/tmp/lists.txt”文件不存在,则样本将会先遍历主目录信息,然后在/tmp目录下创建lists.txt,并将结果存放在里面,上传C2为207.180.243[.]186:8062。若“/tmp/lists.txt”存在则跳过主目录遍历,遍历的结果如下:

之后,继续扫描/home/目录下带特定扩展名的文件,并创建/tmp/temp.txt,用于存放上传文件的记录,之后将扫描结果逐一上传C2,上传完成后便结束程序。

 

 

第二类样本与第一类样本的不同之处在于:

1. 样本运行后首先向api.ipify.org 发送GET请求获取受感染系统的IP地址,之后再进行获取用户信息的操作;

2. 在获取到用户信息之后,样本会通过“/.config/autostart/”目录实现开机自启,获得持久化。

 

 

之后的流程便与第一类样本完全相同。最终连接到的C2为164.68.108[.]153:8062。

 

 

第一类样本使用的C2与SideCopy APT组织在此前的活动中请求的C2相同。根据攻击流程来看,SideCopy组织利用207.180.243[.]186下发后续攻击组件。而本次捕获的样本功能简单,很像某条攻击链中使用的某一组件。通过本次捕获到的Linux样本再次印证了SideCopy APT团伙将攻击能力覆盖包括Linux、Windows等多个平台的意图,且为此在不断发展新的攻击武器。

 

 

总结

SideCopy作为近年才被披露的APT组织,在2021下半年进入高度活跃的状态。近期,SideCopy组织不再满足于使用网络上开源的代码及工具,而是试图发展其攻击能力,更新其武器库。

失陷指标(IOC)6
APT SideCopy 其他
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。