SideCopy伪装注册邀请表格进行攻击

SideCopy伪装注册邀请表格进行攻击

　　 SideCopy组织从2020年9月被安全厂商Quick Heal发布报告披露了以来一直持续保持活跃，当时其针对印度国防部门发起攻击，攻击最早可以回溯到2019年，因为攻击手法模仿APT-C-24（delphi cpu）组织，所以其攻击行动被命名为SideCopy。

　　 SideCopy主要针对印度的国防、军事进行窃密活动，其在早期的攻击活动主要通过模仿响尾蛇组织的攻击手法，并以此迷惑安全研究人员。

　　 其一直被怀疑是APT-C-（delphi对象）的下属组织，在今年年初，透明部落与SideCopy被发现利用相同的基础设施并使用相同主题针对相似目标行动。

　　 0高级威胁研究院监测到了SideCopy在早期伪装注册邀请表格的攻击活动样本。我们推测是之前行动未被发现的样本，样本利用诱饵文档最终释放木马。

　　 利用伪装邀请表格的诱饵文档的攻击活动通过dropper释放credwiz后侧加载同一文件夹下的duser对中招用户持续监控。

　　 我们捕获的样本名字是rf.rtf，是文档标题Registration Form的缩写，文档内容是一个注册邀请表格，要求用户填写姓名、邮箱。

　　 释放到C:\Windows\Tasks的PE文件的主要功能是释放credwiz和duser文件。首先遍历进程判断是否存在这两个文件。

　　 判断Git目录下是否已经存在这两个文件，如果有则删除，通过这个条件判断，我们推断恶意样本至少还有一个版本会释放到Git目录。

　　 最excel delphi络通信，虽然C&C已经失效，我们无法继续验证后续攻击组件，但是在之前被发现的攻击活动duser并不承担控制木马工作，我们推测其会继续接收RAT并进行数据传输。

　　 通过credwiz旁侧加载duser并进行攻击的手段是SideCopy组件常用的。

　　 一般SideCopy组织早期多使用C++、delphi编写组件，后期有部分用C#编写，与之相反，响尾蛇组织的攻击木马一般采用C#编写。我们此次捕获的wordicon和duser是用delphi和C++编写。

　　 APT组织之间相互伪装、攻击的事件时有发生，主要是为了迷惑安全厂商分析人员，达到避免暴露自身的目的。SideCopy组织曾被发现多次模仿响尾蛇的攻击方式，是否印度组织也会模仿透明部落进行攻击活动？我们也将持续。

　　 0高级威胁研究院是0数字安全集团的核心能力支持部门，由0资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，delphi断点披露多个APT组织的高级行动，赢得业内外的广泛认可，为0delphi代码络安全提供有力支撑。