发现针对印度大学的 SideCopy APT 活动

Cyble 研究与情报实验室 (CRIL) 研究人员发现了一项新的 SideCopy 活动。此前曾观察到该威胁组织针对南亚国家，特别是印度和阿富汗的政府和军​​事目标。

该活动自 2023 年 5 月开始活跃，通过复杂的感染链针对大学生，其中包括恶意 LNK 文件、HTAs 和伪装成合法文档的加载程序 DLL。最终，该活动部署了Reverse RAT 和 Action RAT 等恶意软件负载，使攻击者能够对受感染的设备进行广泛的控制。

该研究探讨了 SideCopy 所采用的策略，例如他们最近对大学生的关注，以及与透明部落 APT 组织的活动可能重叠。

SideCopy活动感染链的技术分析
5 月初，CRIL 发现了 SideCopy 组织在其运营中使用的恶意域。该网站被发现托管一个名为“files.zip”的 ZIP 存档文件，其中包含标记为“economy”、“it”和“survey”的子目录。调查目录包含与 SideCopy 之前在其早期活动中使用的文件类似的文件。

来源：Cyble
该活动可能使用垃圾邮件来分发通过受感染网站托管的恶意 ZIP 存档作为初始感染媒介。这些档案包含伪装成合法文档的恶意 LNK 文件，例如“IT Trends.docx.lnk”。

执行后，LNK 文件会触发一系列命令，然后继续下载并执行恶意 HTA 文件。下载的 HTA 文件包含附加诱饵文档和 DLL 文件中的嵌入有效负载。诱惑文件通常以时事或相关学术主题为主题，以使目标人群显得合法。

来源：Cyble 博客

来源：Cyble 博客
该恶意软件具有适应不同防病毒软件（例如 Avast、Kaspersky 和 ​​Bitdefender）的功能，通过将 LNK 快捷方式文件放置在启动文件夹中，进一步增强了其逃避检测并确保持久性的能力。

攻击过程最终会导致在受害者系统上部署恶意负载，例如反向 RAT 和操作 RAT，然后连接到远程命令和控制 (C&C) 服务器以开始恶意活动。

与透明部落活动的交集
该研究进一步表明 SideCopy 和透明部落（另一个以印度军事和学术机构为目标而闻名的 APT 组织）之间可能存在重叠或合作。这种交叉暗示了两个群体之间可能的合作努力或共同目标，研究人员此前指出 SideCopy 可能充当透明部落的一个分支。

SideCopy 还模仿 Sidewinder APT 组织传播恶意软件文件的策略，例如使用伪装的 LNK 文件来启动复杂的感染链。

CRIL 研究人员建议使用强大的电子邮件过滤系统、谨慎行事、部署网络级监控并禁用 PowerShell、MSHTA、cmd.exe 等脚本语言，以防止这种潜在威胁。