发现针对印度大学的 SideCopy APT 活动

阅读量201924

发布时间 : 2024-05-16 11:47:09

Cyble 研究与情报实验室 (CRIL) 研究人员发现了一项新的 SideCopy 活动。此前曾观察到该威胁组织针对南亚国家,特别是印度和阿富汗的政府和军​​事目标。

该活动自 2023 年 5 月开始活跃,通过复杂的感染链针对大学生,其中包括恶意 LNK 文件、HTAs 和伪装成合法文档的加载程序 DLL。最终,该活动部署了Reverse RAT 和 Action RAT 等恶意软件负载,使攻击者能够对受感染的设备进行广泛的控制。

该研究探讨了 SideCopy 所采用的策略,例如他们最近对大学生的关注,以及与透明部落 APT 组织的活动可能重叠。

SideCopy活动感染链的技术分析
5 月初,CRIL 发现了 SideCopy 组织在其运营中使用的恶意域。该网站被发现托管一个名为“files.zip”的 ZIP 存档文件,其中包含标记为“economy”、“it”和“survey”的子目录。调查目录包含与 SideCopy 之前在其早期活动中使用的文件类似的文件。

来源:Cyble
该活动可能使用垃圾邮件来分发通过受感染网站托管的恶意 ZIP 存档作为初始感染媒介。这些档案包含伪装成合法文档的恶意 LNK 文件,例如“IT Trends.docx.lnk”。

执行后,LNK 文件会触发一系列命令,然后继续下载并执行恶意 HTA 文件。下载的 HTA 文件包含附加诱饵文档和 DLL 文件中的嵌入有效负载。诱惑文件通常以时事或相关学术主题为主题,以使目标人群显得合法。