聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

网络安全研究员发现针对印度国防单位和武装力量的网络间谍活动的新证据，该活动至少始于2019年，目的是窃取敏感信息。

印度网络安全公司 Quick Heal 将该攻击命名为“Operation SideCopy”，并认为是某 APT 组织所为。该 APT 组织通过“复制”其它威胁组织如 SideWinder 等的技术而设法成功隐藏。

利用微软 Equation 编辑器缺陷

该攻击活动以一个嵌入式邮件恶意附件开始（或以包含 LNK 文件的 ZIP 文件或微软 Word 文档形式），通过一系列步骤下载最终阶段的 payload触发感染链。

除了识别三种不同的感染链外，值得注意的是其中一个感染链利用的是模板感染和微软的 Equation 编辑器缺陷 (CVE-2017-11882)。该缺陷是存在于微软 Office 中的一个内存损坏漏洞，已存在20年之久。如遭成功利用，即使无需用户交互，该漏洞也可使攻击者在易受攻击的机器上执行远程代码。

微软在2017年11月发布补丁。

和此类恶意垃圾邮件活动一样，这次攻击通过一些社工技术钓鱼用户，使他们打开看似真正的声称关于印度政府国防生产政策的 Word 文档。另外，该 LNK 文件具有一个双重扩展（"Deence-Production-Policy-2020.docx.lnk”）并带有文档图表，以此诱骗对此毫无察觉的受害者打开文件。

LNK  文件被打开后，就会滥用“mshta.exe”执行托管在欺诈性网站上的恶意 HTA （即微软 HTML 应用程序）文件，而该 HTA 文件通过开源 payload 生成工具 CACTUSTORCH 创建。

多阶段的恶意软件交付流程

第一阶段的 HTA 文件包括一个诱饵文档和一个恶意的 .NET 模块。该模块用于执行诱饵文档并下载第二阶段的 HTA 文件。第二阶段的 HTA 文件用于在复制微软的凭据之前检查是否存在热门的反病毒解决方案，将工具 (“credwiz.exe”) 恢复到受害者机器上的另外一个文件夹中，并修改注册表，在每次启动时运行已复制的可执行文件。

结果，但该文件执行时，它不仅会侧加载恶意“DUser.dll”文件，还会启动 RAT 模块“winms.exe”，而它们均来自第二阶段的 HTA文件。研究人员表示，“该 DUser.dll 将在TCP 端口6102上的 IP 地址‘173.212.224.110’初始化该连接。一旦成功建立连接，之后将继续根据从 C2 获得的命令执行多种行动。例如，如果 C2 发送0，则它会收集 Computer Name、Username、OS 版本等并返回给 C2。”

研究人员表示该 RAT 和开源的远程访问软件 Allakore Remote 的代码之间存在相似之处。该 RAT 利用 Allakore 的 RFB（远程框架缓冲区）协议从受感染系统中提取数据。

可能和 Transparent Tribe APT 存在关联

另外，一些攻击链据称也释放了此前未曾出现过的基于 .NET 的 RAT（卡巴斯基研究员称之为“Crimson RAT”），它具有多种能力如访问文件、剪贴板数据、终止进程，甚至是执行任意命令。

尽管和 SideWinder 组织在 DLL 文件命名的运营模式上存在相似之处，但该 APT 组织的攻击严重依赖于开源的工具集和完全不同的 C2 基础设施使研究人员认为它来自巴基斯坦，尤其是 Transparent Tribe组织。Transparent Tribe 组织最近被指和多起针对印度军队和政府人员的攻击活动有关。

研究人员指出，“因此，我们怀疑该活动背后的行动者是 Transparent-TribeAPT组织的一部分或分支，负责抄袭其它威胁行动者的 TTPs，以混淆安全社区的视线。”

推荐阅读

微软警告：警惕新型勒索软件 PonyFinal，已现身印度、伊朗和美国

谁在攻击印度核电厂？后果很严重吗？

原文链接

https://thehackernews.com/2020/09/cyberattack-indian-army.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 吧~