意昂体育-科技赋能场景,让娱乐更有趣!

连忙拨打95015

首页 > 企业动态 > 公司新闻 > “SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

时间：2022-01-18 作者：意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心

分享到：

配景

SideCopy组织至少自2019年以来一直在运动，，，，，，，主要针对南亚国家的国防军和武装步队职员、陆武士员举行窃密运动。。。。。该组织通过模拟响尾蛇APT的攻击手法来转达自己的恶意软件，，，，，，，并以此抵达疑惑清静职员的目的。。。。。

2021年11月15日，，，，，，，意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心红雨滴团队首次发明SideCopy组织使用由Python打包的双平台攻击武器[1]，，，，，，，运动中使用的初始攻击样本是一个包括Linux桌面启动文件的压缩包，，，，，，，该文件在执行之后会下载并播放莫迪总统讲话视频以疑惑受害者，，，，，，，同时下载一个用于下载RAT的剧本并执行。。。。。

经剖析，，，，，，，我们可以确认该RAT是一款支持Windows和Linux双平台的远控工具。。。。。通过C&C关联发明，，，，，，，该团伙武器库中还包括MacOS平台的BellaRAT。。。。。之后我们增强了对该组织的一连关注及追踪。。。。。

2021年12月20日，，，，，，，我们再次捕获SideCopyAPT组织以印度国防照料长坠机相关事务为诱饵举行的攻击[2]。。。。。诱饵文档使用远程模板注入，，，，，，，远程加载并执行含有恶意DDE域代码的文档文件，，，，，，，通过恶意域代码下载vbs剧本到本机执行下发后续恶意代码。。。。。

概述

克日，，，，，，，红雨滴团队研究职员在一样平常威胁狩猎中再次捕获到一例针对Linux平台的攻击样本。。。。。与上次差别的是，，，，，，，此次捕获样本由Go语言编写而不是Python，，，，，，，该样本功效较为简单，，，，，，，仅实现了对目的受害者主机目录的扫描和窃取。。。。。遗憾的是，，，，，，，由于C2失效，，，，，，，我们没有获取到完整的攻击链，，，，，，，以及更深入的研究剖析。。。。。

样本信息

本次捕获到的样本均为Linux64位系统的ELF文件。。。。。本文将此次捕获到的样天职为两类，，，，，，，两类样本在基本结构、功效上简陋相似，，，，，，，差别之处在于第一类样本获取了本机IP地点并举行了长期化操作。。。。。详细信息如下：

详细剖析

首先以第一类样本，，，，，，，即不包括长期化操作的样本34d9dff0aa80f6ea7eea6f491d493fa3为例举行剖析。。。。。

样本运行后将获取目今用户信息，，，，，，，以及主目录，，，，，，，并判断是否保存“/tmp/lists.txt”文件。。。。。

“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

若“/tmp/lists.txt”文件不保存，，，，，，，则样本将会先遍历主目录信息，，，，，，，然后在/tmp目录下建设lists.txt，，，，，，，并将效果存放在内里，，，，，，，上传C2为207.180.243[.]186:8062。。。。。

若“/tmp/lists.txt”保存则跳过主目录遍历，，，，，，，直接进入下一步操作。。。。。

“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

遍历的效果如下：

“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

用于上传C2的部分：

“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

之后，，，，，，，继续扫描/home/目录下带特定扩展名的文件，，，，，，，并建设/tmp/temp.txt，，，，，，，用于存放上传文件的纪录，，，，，，，之后将扫描效果逐一上传C2，，，，，，，上传完成后便竣事程序。。。。。

“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

样本所扫描的扩展名包括.css、.csv、.doc、.egm、.gif、.htm、.jpg、.mjs、.odt、.oef、.pdf、.png、.ppt、.sdd、.sec、.svg、.txt、.xls、.xml等。。。。。

两类样本的差别之处

第二类样本与第一类样本的差别之处在于：

1.样本运行后首先向api.ipify.org发送GET请求获取受熏染系统的IP地点，，，，，，，之后再举行获取用户信息的操作；；；；；；

“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

2.在获取到用户信息之后，，，，，，，样本会通过“/.config/autostart/”目录实现开机自启，，，，，，，获得长期化。。。。。

“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

之后的流程便与第一类样本完全相同。。。。。最终毗连到的C2为164.68.108[.]153:8062。。。。。

关联剖析

我们在剖析历程中发明，，，，，，，第一类样本使用的C2：207.180.243[.]186，，，，，，，与《印度国防照料长坠机：SideCopyAPT组织趁火掠夺》[2]一文中恶意PowerShell剧本请求的C2相同，，，，，，，下图为文中样本执行流程：

“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

凭证攻击流程来看，，，，，，，SideCopy组织使用207.180.243[.]186下发后续攻击组件。。。。。而本次捕获的样本功效简朴，，，，，，，很像某条攻击链中使用的某一组件。。。。。虽然《SideCopyAPT组织趁火掠夺》一文中披露的是针对Windows平台的攻击，，，，，，，但我们推测该组织可能在统一时期最先策划针对Linux平台的攻击。。。。。

其次通过意昂体育-科技赋能场景,让娱乐更有趣!威胁情报文件深度剖析平台可知本文中样本的下载链接为“hxxp://assessment.mojochamps[.]com/uploads/v/filename”。。。。。

“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

该下载链接与此前我们披露的SideCopy攻击运动中的诱饵文档下载链接“hxxp://assessment.mojochamps[.]com/images/Jointness.docx”、“hxxp://assessment.mojochamps[.]com/uploads/v/3.php”所属域名均相同。。。。。

“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

团结之前的两篇剖析报告，，，，，，，我们发明SideCopy组织早在11月就入侵了正当网站“hxxp://assessment.mojochamps[.]com”，，，，，，，并将其用于挂载诱饵文档及相关恶意后续载荷。。。。。不难看出，，，，，，，SideCopy组织通过这一网站同时举行了Windows、Linux两个平台的攻击运动。。。。。

别的，，，，，，，通过我们本次捕获到的Linux样本再次印证了该攻击团伙将攻击能力笼罩包括Linux、Windows等多个平台的意图，，，，，，，且为此在一直生长新的攻击武器。。。。。

总结

SideCopy作为近年才被披露的APT组织，，，，，，，在2021下半年进入高度活跃的状态。。。。。近期，，，，，，，我们发明SideCopy组织不再知足于使用网络上开源的代码及工具，，，，，，，而是试图生长其攻击能力，，，，，，，更新其武器库。。。。。意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心会对其举行恒久的溯源和跟进，，，，，，，实时发明清静威胁并快速响应处置惩罚。。。。。

此次捕获的样本主要针对南亚地区开展攻击运动，，，，，，，海内用户不受其影响。。。。。意昂体育-科技赋能场景,让娱乐更有趣!红雨滴团队提醒宽大用户，，，，，，，切勿翻开社交媒体分享的泉源不明的链接，，，，，，，不点击执行未知泉源的邮件附件，，，，，，，不运行问题夸张的未知文件，，，，，，，不装置非正规途径泉源的APP。。。。。做到实时备份主要文件，，，，，，，更新装置补丁。。。。。

若需运行，，，，，，，装置泉源不明的应用，，，，，，，可先通过意昂体育-科技赋能场景,让娱乐更有趣!威胁情报文件深度剖析平台（https://sandbox.ti.qianxin.com/sandbox/page）举行判别。。。。。现在已支持包括Windows、安卓平台在内的多种名堂文件深度剖析。。。。。

现在，，，，，，，基于意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心的威胁情报数据的全线产品，，，，，，，包括意昂体育-科技赋能场景,让娱乐更有趣!威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、意昂体育-科技赋能场景,让娱乐更有趣!NGSOC、意昂体育-科技赋能场景,让娱乐更有趣!态势感知等，，，，，，，都已经支持对此类攻击的准确检测。。。。。

“SideCopy”武器库更新：基于Golang的Linux窃密工具浮出水面

IOCs

MD5

5fd6fc76b3ec2f5c97a44bf7bd3de972

34d9dff0aa80f6ea7eea6f491d493fa3

64149e187f678f3131746d2975b8a8dc

fea8b786f469e723e8fdb7ed630ba850

C2

164.68.108[.]153:8062

207.180.243[.]186:8062

URL

http://207.180.243[.]186:8062/one

http://164.68.108[.]153:8062/one

参考链接

[1]https://ti.qianxin.com/blog/articles/Sidecopy-dual-platform-weapon/

[2]https://ti.qianxin.com/blog/articles/SideCopy-APT-Group-Takes-Advantage-of-the-Fire/

推荐产品

相关新闻

您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问可用以下方法告诉我们

将您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问

用以下方法告诉我们

联系客服提交信息网络清静效劳热线:95015

我猜您是

客户

求职者

快捷窗口

产品注册与激活

意昂体育-科技赋能场景,让娱乐更有趣!天守清静软件

顽固病毒专杀工具

旗下网站

网神

网康

手艺研究院

威胁情报中心

补天误差响应平台

NOX 清静监测

关于意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!简介

联系意昂体育-科技赋能场景,让娱乐更有趣!

收支口合规声明

95015效劳热线

微信公众号

Copyright ? 2014-2026 QIANXIN.COM All Rights Reserved 意昂体育-科技赋能场景,让娱乐更有趣! 京ICP备16020626号-8

京公网安备11000002002064号

隐私政策 | 网站地图

【网站地图】【sitemap】