APT组织SideCopy近期针对印度政府的钓鱼攻击活动分析

一、事件概要

1.1 事件简介

(资料图片仅供参考)

2月1日，绿盟科技监测到一份恶意宏文档，名为”Cyber Advisory 2023.docm”（网络安全通告2023）。经分析，确认该文档由巴基斯坦APT组织SideCopy投递，目的是引诱目标打开阅览的同时下载ReverseRAT木马，以接收C&C指令进行窃密活动。

关于SideCopy的历史攻击事件，参见绿盟博客伏影实验室文章《近期巴基斯坦APT组织SIDECOPY针对印度军事训练营的鱼叉攻击活动》（http://blog.nsfocus.net/apt-sidecopy/）。

1.2 组织背景

SideCopy由安全公司Quick Heal于2020年披露，近年来因受印巴紧张关系影响而频繁活跃。该组织的主要攻击目标以印度的军事设施为主，尤其是与克什米尔边防相关的机构，与巴基斯坦的国家利益关联。据研究人员分析，SideCopy与巴基斯坦主要APT组织TransparentTribe在TTP方面存在相似性，可能存在从属或合作关系。

1.3 诱饵文档

本次事件中，SideCopy作者冒充印度政府信息部门官员投递诱饵文档，类型为通告（Advisory），主题为“安卓威胁与预防措施”，并在正文部分列出了几种针对安卓手机的攻击方式和应对手段。从正文落款来看，通告的“作者”为印度安全保障部的安全审计总监Vinai Kumar Kanaujia。通告是印度政府发布的应用文格式之一，有些会保存在官方网站上，因此可被攻击者轻易获得来学习其话术，从而构建诱饵文档。

图 1.1 诱饵文档内容

考虑到巴方攻击组织曾使用安卓间谍工具来针对印度（安卓手机在印度市场占有率较高），再结合本次事件诱饵文档中对安卓安全的强调以及SideCopy的既往偏好，推测其本次攻击的目标应为印度政府、军队或重点科研单位人员，尤其是安卓手机用户。

而根据文档属性中的首次出现时间，本次攻击活动可能发生在1月28日~1月30日。

图 1.2 文档属性

诱饵文档开头最上方一行醒目的一号字体内容并不是标题，而是提醒目标启用宏，显示这是一次利用恶意宏进行的钓鱼攻击，是APT组织的惯用手法。

通告的结构形式完全按照印度政府通告的标准，在写完主题（Subject）和一段摘要后，对正式内容直接从2开始标号。

不过，该通告在制作时存在纰漏：通告第3条建议提到附录1，但实际并不存在；同时，通告末尾处还提到一个“链接”，但并未指向任何实际网址。

通告落款处为发出者Vinai Kumar Kanaujia信息，并包含其个人签名，但该签名与印度政府官网公开文档中的真人签名有显著差异。相比之下，历史签名更能看出对应的人名字母，而此次文档中的签名则非常潦草，存在伪造签名的情况。

图 1.3 诱饵文档签名与Vinai Kumar Kanaujia真人历史签名对比

1.4 活动简述

本次SideCopy活动流程较为直接，通过诱饵文档内嵌的恶意宏来下载木马并执行。

图 1.4 攻击流程

二、详细分析

2.1 第一阶段 - 诱饵文档

2.1.1 Cyber Advisory 2023.docm

诱饵文档通过首行醒目的一号字体内容，诱使目标启用宏。当目标关闭文档时，内置的VBA宏则通过HTTP GET请求访问luckyoilpk.com/vlan.html。该网站曾被标注为巴基斯坦某能源公司（Lucky Oil Company）的官网，但如今打开后显示出错，表明其已被用作水坑站点。

图 2.1 luckyoilpk.com网站

之后VBA宏从下载的内容中抽取出木马数据，并通过FreeFile方式来创建本地文件。其中，木马被命名为vlan.exe，保存在Startup目录下，尽管没有被直接执行，但已实现了开机自启动。

图 2.2 VBA宏

图 2.3 VBA宏下载得到的Payload

2.2 第二阶段 – 执行木马

2.2.1 vlan.exe

下载的vlan.exe是经过混淆的ReverseRAT木马。该家族为SideCopy组织已知攻击载荷（亦被思科称为CetaRAT），用于执行各类远程控制功能。

ReverseRAT会在启动后收集宿主机的基本信息，经过Gzip压缩和RC4加密（初始密钥为”12121”），并通过HTTP POST发送至CnC。

图 2.4 实验环境下的HTTP POST流量

表 2.1 收集的基本信息

之后，木马对C&C返回的内容进行对等处理，通过RC4解密和Gzip解压，提取其中的C&C指令。指令分为名称与参数，每项之间由“|”隔开，格式为：

<指令名称> | <参数1> | <参数2> | ….

表 2.2 指令与功能

执行指令后，返回的内容结构与上传基础信息时类似，同样经过压缩和加密，指定发送方式为“返回指令结果”，具体传输方式不变。

表 2.3 返回的信息

三、总结

SideCopy组织此次活动流程较为简洁，一次性通过钓鱼文档下载远控木马，没有其他中间环节。SideCopy对远控木马做了混淆处理，但由于其整体逻辑并不复杂，因此很容易被识别出是ReverseRAT。此外，诱饵文档的VBA宏是在文档关闭时触发，而且下载远控木马后并未执行，而是需要重启，这两点表明攻击者有意推迟恶意代码的运行，在一定程度上增强了行为的隐匿性。

四、IOC

ffa2e6f6a7a8001f56c352df43af3fe5

luckyoilpk.com

0baa1d0cc20d80fa47eeb764292b9e98

http[:]//185.174.102.54:443/

标签： 巴基斯坦 钓鱼攻击 基本信息