【安全资讯】“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

引言

研究人员在日常威胁狩猎中捕获到一例SideCopy组织针对Linux平台的攻击样本。此次捕获样本由Go语言编写而不是Python，功能较为单一，仅实现了对目标受害者主机目录的扫描和窃取。

简况

本次捕获到的样本均为Linux 64位系统的ELF文件。本文将此次捕获到的样本分为两类，两类样本在基本结构、功能上大抵相似，不同之处在于其中一类样本获取了本机IP地址并进行了持久化操作。

以第一类样本，即不包含持久化操作的样本34d9dff0aa80f6ea7eea6f491d493fa3为例进行分析。样本运行后将获取当前用户信息，以及主目录，并判断是否存在“/tmp/lists.txt”文件。若“/tmp/lists.txt”文件不存在，则样本将会先遍历主目录信息，然后在/tmp目录下创建lists.txt，并将结果存放在里面，上传C2为207.180.243[.]186:8062。若“/tmp/lists.txt”存在则跳过主目录遍历，遍历的结果如下：

之后，继续扫描/home/目录下带特定扩展名的文件，并创建/tmp/temp.txt，用于存放上传文件的记录，之后将扫描结果逐一上传C2，上传完成后便结束程序。

第二类样本与第一类样本的不同之处在于：

1. 样本运行后首先向api.ipify.org 发送GET请求获取受感染系统的IP地址，之后再进行获取用户信息的操作；

2. 在获取到用户信息之后，样本会通过“/.config/autostart/”目录实现开机自启，获得持久化。

之后的流程便与第一类样本完全相同。最终连接到的C2为164.68.108[.]153:8062。

第一类样本使用的C2与SideCopy APT组织在此前的活动中请求的C2相同。根据攻击流程来看，SideCopy组织利用207.180.243[.]186下发后续攻击组件。而本次捕获的样本功能简单，很像某条攻击链中使用的某一组件。通过本次捕获到的Linux样本再次印证了SideCopy APT团伙将攻击能力覆盖包括Linux、Windows等多个平台的意图，且为此在不断发展新的攻击武器。

总结

SideCopy作为近年才被披露的APT组织，在2021下半年进入高度活跃的状态。近期，SideCopy组织不再满足于使用网络上开源的代码及工具，而是试图发展其攻击能力，更新其武器库。