SideCopy APT IOCs - Part 2

security IOC
Опубликовано

Недавно FortiGuard Labs наткнулись на один файл, в котором упоминалась индийская государственная военная исследовательская организация и разрабатываемая ядерная ракета. Файл предназначался для развертывания вредоносного ПО с характеристиками, соответствующими APT-группе "SideCopy". Эта группа, деятельность которой началась как минимум в 2019 году, согласовывает свои действия с целями и задачами правительства Пакистана.

SideCopy APT

Известно, что APT-группа SideCopy применяет схожие TTP (тактика, техника и процедуры), а в некоторых случаях использует ту же инфраструктуру, что и другая пакистанская группа угроз, известная как "Прозрачное племя". В некоторых сообщениях даже утверждается, что SideCopy является дочерней компанией Transparent Tribe. Предположительно, группа была названа "SideCopy", поскольку используемая ею цепочка заражения была скопирована с давно существующей индийской группы угроз SideWinder в попытке затруднить атрибуцию. Хотя SideCopy в основном нацелена на платформы Windows, некоторые отчеты указывают на то, что они развернули вредоносное ПО на взломанных компьютерах Mac и Linux.

Предполагается, что первоначальным вектором заражения было фишинговое электронное письмо. Однако эта информация не была доступна FortiGuard Labs на момент  расследования. Тем не менее, у нас есть доступ к Zip-файлу, который, скорее всего, был вложен в письмо.

Файл называется "DRDO-K4-Missile-Clean-room.zip". Если полностью разобрать значение названия, то оно становится довольно интересным. "DRDO" означает индийскую Организацию оборонных исследований и разработок (https://en.wikipedia.org/wiki/Defence_Research_and_Development_Organisation). "K-4" относится к БРПЛ средней дальности (баллистические ракеты подводных лодок), размещенным на атомных подводных лодках с баллистическими ракетами класса Arihant (https://en.wikipedia.org/wiki/K-4_(missile)). А "чистая комната" означает помещение, необходимое для сборки чувствительных компонентов или проведения интенсивного технического обслуживания этих ракет.

Zip-файл содержит три файла, два из которых должны быть развернуты в подкаталоге в месте извлечения.

Файлы "office.template.mac" и "office.template.ui" содержат неформатированные данные и не имеют отношения к цепочке заражения. Похоже, они служат приманкой, чтобы третий файл, "DRDO-K4 Missile Clean room.pptx.lnk", выглядел более легитимным.

Это файл ярлыка Microsoft Windows. В любой системе Windows, где расширения файлов скрыты, расширение ".lnk" не будет видно, в результате чего он будет выглядеть как "DRDO-K4 Missile Clean room.pptx". Этот обман усложняет распознавание файла как вредоносного, просто взглянув на него.

Файл ярлыка Windows не открывает файл PowerPoint (по крайней мере, сразу). Вместо этого он обращается к домену, контролируемому злоумышленником, используя утилиту для Microsoft HTML Applications (HTAs), или "mshta.exe".

В этом случае аргумент командной строки указывает на URL-адрес. На другом конце URL-адреса находится вредоносный файл "Pantomime.hta", который будет загружен и выполнен:

hXXp://cornerstonebeverly[.]org/js/files/docufentososo/doecumentosoneso/pantomime[.]hta.

Предыдущие инциденты SideCopy были замечены в использовании CACTUSTORCH для развертывания кода в обфусцированном виде через JavaScript и VBScript. Эта кампания отличается тем, что полезная нагрузка, похоже, была создана с помощью инструмента SILENTTRINITY.

SILENTTRINITY - это новый, более комплексный инструмент, который может использоваться в качестве полнофункционального фреймворка для пост-эксплойта в том же ключе, что и Empire или CobaltStrike. Он эффективно позволяет выполнять код Microsoft .Net без использования PowerShell в качестве промежуточного шага. В данном случае, похоже, что полезная нагрузка была сгенерирована с помощью этого инструмента. Однако неизвестно, использовал ли его бэкенд, обслуживающий этот файл, или его последующие этапы.

"Pantomime.hta" содержит несколько примечательных секций. В головной части файла проверяется версия .Net, установленная на машине жертвы, и проверяется наличие папки "C:\ProgramData\HP". Если нет, она создается.

Большую часть остальной части файла занимают две закодированные секции, хранящиеся в переменных "dividAndRule" и "punctureTyres". Оба они закодированы в формате base64, хотя и немного по-разному.

"punctureTyres" передается в функцию "basforsixfourstream", которая декодирует его из base64.

Новый декодированный файл "punctureTyres" десериализуется (считывается в поток памяти), где он может быть выполнен.

В этом потоке содержится библиотека Microsoft .Net под названием "hta.dll". Она включает функцию "RealityShow", которая используется для передачи переменной "dividAndRule" в base64-кодировке, чтобы файл "DRDO-K4 Missile Clean room.pptx" мог быть развернут, а также следующий этап вредоносной программы.

Как уже упоминалось, "hta.dll" нацелен на развертывание "DRDO-K4 Missile Clean room.pptx". Он может быть развернут и на следующем этапе вредоносной программы.

После вызова из "Pantomime.hta" функция "openthefile" принимает данные из "dividAndRule", декодирует их из base64 и распаковывает, поскольку это поток данных, сжатый в формате GZip. Затем она открывает файл для отображения.

Кроме того, вызывается функция "getThirdStrike", чтобы начать следующую фазу заражения.

Функция "getThirdStrike" определяет место загрузки того, что станет файлом "jquery.hta". Затем он передает его функции "runItOn" для обращения к "hXXp://cornerstonebeverly[.]org/js/files/ntfonts/jquery.txt" для загрузки файла.

"getThirdStrike" также оценивает антивирусную ситуацию на машине жертвы и передает эту информацию посредством HTTP POST через функцию "pkg.infinity", которая обращается к "hXXp://cornerstonebeverly.org/js/files/ntfonts/avena/".

Как только все это произойдет, начнется выполнение файла "jquery.hta".

В отличие от ярлыка, который имеет такое же название, это настоящий файл Microsoft PowerPoint.

Презентация PowerPoint содержит 22 слайда и представляет собой убедительный трактат о требованиях к созданию чистой среды для удовлетворения потребностей крупного аэрокосмического проекта в этом регионе земного шара. Файл, однако, совершенно доброкачественный и служит в качестве приманки для сокрытия другой деятельности.

"jquery.hta" очень похож по структуре и назначению на "Pantomime.hta". Он продвигает инфекцию путем развертывания дополнительных файлов из нескольких переменных с закодированными данными. Похоже, что он также был создан SILENTTRINITY.

Головная часть файла содержит функцию "decode_base64", пользовательскую реализацию для декодирования данных в кодировке base 64, которые будут использоваться позже, и большую закодированную секцию, прикрепленную к переменной под названием "addle". Как и "Pantomime.hta", она выполняется, как только декодируется и выполняется следующая секция.

Переменная "InMomemerandum" содержит base64-кодированные данные для другой .Net DLL под названием "PreBot.dll".

Функция "decode_base64" теперь используется для декодирования небольшого блока текста base64, "U2VsZWN0ICogRnJvbSBBbnRpVmlydXNQcm9kdWN0". Это переводится как "Select * From AntiVirusProduct", запрос Windows Management Instrumentation (WMI) для получения информации о том, какой тип антивирусного продукта (продуктов) может быть установлен в системе.

"InMomemerandum" будет отправлен в функцию для декодирования из базы 64 - в данном случае в функцию "bazSixFerToStreeeemStranger". Затем она десериализуется для запуска "PreBot.dll" в памяти, после чего данные из переменной "addle" передаются в функцию "PinkAgain".

Объявление начального класса "DraftingPad" содержит пути к файлам, которые осталось развернуть для этой атаки.

Помимо того, что в нем содержатся желаемые места приземления оставшихся файлов, переменной "BatFileBytes" присваивается некоторый дополнительный текст в кодировке base64.

Функция "PinkAgain" принимает данные, переданные из файла "jquery.hta" в виде потока байтов в кодировке base 64, сжатых в GZip, а также настройки антивируса на машине жертвы и направляет их в функцию, которая будет обрабатывать их соответствующим образом.

Цель "test.bat" - создать ключ реестра под названием "Windows Update Schedule" в ветке реестра "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run". Соглашение об именовании пытается помочь программе замаскироваться под что-то легитимное.

Это гарантирует, что файл "C:\Users\Public\hp\cridviz.exe" будет выполняться при каждом перезапуске системы.

Наконец, "DUser.dll" распаковывается и помещается в целевое место "C:\Users\Public\hp\" вместе с "cridviz.exe". Он содержит основной код троянца удаленного доступа (RAT), который будет использоваться вместе с вышеупомянутым "credviz.exe" путем боковой загрузки его кода (https://attack.mitre.org/techniques/T1574/002/) при запуске.

Файл "C:\Users\Public\hp\cridviz.exe" копируется из своего обычного расположения в "C:\Windows\SysWOW64\credwiz.exe" или "C:\Windows\System32\credwiz.exe" (в зависимости от архитектуры системы) в указанное выше место с измененным именем файла.

"cridviz.exe" - это "Мастер резервного копирования и восстановления учетных данных", используемый как часть менеджера учетных данных Windows для обеспечения метода резервного копирования и восстановления сохраненных учетных данных в системе.

Как упоминалось ранее, SideCopy RAT не существует как отдельный исполняемый файл. Для загрузки своего кода в память и его выполнения ему требуется помощь другого приложения. В данном случае это "cridviz.exe". Для этого он использует боковую загрузку, то есть зависимость легитимного приложения взламывается, чтобы позволить вредоносному коду загрузиться. Для этого вредоносная DLL "DUser.dll" помещается в каталог с "cridviz.exe".

Интересно, что "DUser.dll" не является прямым требованием зависимости. На самом деле он является требованием двух других библиотек, которые требует "cridviz.exe", "COMCTL32.dll" и "SHELL32.dll". В результате этого отследить источник вредоносного кода становится гораздо сложнее.

Конечным результатом этой атаки является развертывание и выполнение "DUser.dll". Как упоминалось выше, легитимная версия этого файла обычно находится в "C:\Windows\SysWOW64".

Сравнение нелегитимного и легитимного файлов показывает несколько различий. В частности, в полях "Описание файла" и "Версия файла", а также в размере файлов, причем вредоносный файл значительно меньше.

После выполнения "DUser.dll" обращается к "hXXp://144[.]91[.]72[.]17:8080" в качестве командно-контрольного (C2) узла для отправки и получения.

Действия, выполняемые RAT, используют характерную строку агента пользователя "cpp-httplib/0.7", что выделяет его в трафике. Он может взаимодействовать через TCP с использованием необработанных сокетов или через HTTP. RAT также может выполнять другие, менее распространенные операции, связанные с глаголами HTTP, такие как "PUT" и "PATCH".

RAT может запускать другие процессы, если его проинструктировать с помощью вызова Windows API "CreateProcessW". Это может быть полезно для запуска дополнительной полезной нагрузки после того, как будет достигнута точка опоры на целевой системе.

Целенаправленная кампания, в которой злоумышленник тратит время на создание приманки, достаточно значимой для цели, всегда открывает больше дверей для злоумышленника.  SideCopy предоставил такую приманку, которая заинтересовала бы только небольшую группу людей в индийской оборонной промышленности.

Цели, находящиеся в таком положении, представляют определенный интерес для правительства Пакистана и любых субъектов угроз, которые соответствуют его целям.

Indicators of Compromise

Domains

  • cornerstonebeverly.org

URLs

  • http://144.91.72.17:8080/streamcmd?AV=Unknown&OS=6.1.7601.17932&Vesrion=1&detail=Wfstzepn_Admin
  • http://144.91.72.17:8080/user_details
  • http://cornerstonebeverly.org/js/files/docufentososo/doecumentosoneso/pantomime.hta
  • http://cornerstonebeverly.org/js/files/ntfonts/jquery.txt
  • https://cornerstonebeverly.org/js/files/ntfonts/avena/

SHA256

  • 17eabfb88a164aa95731f198bd69a7285cc7f64acd7c289062cd3979a4a2f5bf
  • 1c2399674713d2a3fc19b841e979eed61d73d1b7ca8fd6f29ba95a41f5a7684d
  • 68ec4461653ae682eeace1bff583307ec521a3ee23873a991c031cc49dc8132f
  • 85faf414ed0ba9c58b9e7d4dc7388ba5597598c93b701d367d8382717fb485ec
  • 865e041b41b9c370a4eed91a9a407bd44a94e16e236e07be05e87de319a4486c
  • 9aed0c5a047959ef38ec0555ccb647688c67557a6f8f60f691ab0ec096833cce
  • a2e55cbd385971904abf619404be7ee8078ce9e3e46226d4d86d96ff31f6bb9a
  • b9514ed1566c8ce46ab5bfd665f8b997f2d5624740f298699df43bb108e08c4d
  • bf34077c8b22759b28dcc458dc1b7bba3810c1c30b050b26a26e8d9f64e77971
  • c7753ffb7f66b0dfb05a24955324182cb92bbf41dd8fccb308c3f04d497a16da
  • e88835e21c431d00a9b465d2e8bed746b6369892e33be10bc7ebbda6e8185819
  • f0cc9b18ba32f95085d5f9a3539dc08832c19e7d3124a5febbdc3bae47deab24
Похожие записи:
  1. Internet Macros мертвы или живы?
  2. APT34 APT IOCs
  3. SideCopy APT IOCs
  4. 8220 Gang APT IOCs - Part 2
  5. BlackCat (BlackMatter) APT IOC
APT FortiGuard Labs SideCopy SILENTTRINITY
Добавить комментарий