成功捕获！SideCopy组织遭人针对印度国防部的攻击样本

/p>

分派下述操控

在C:\ProgramData\gvnntr\索引下创始人gvnntr.bat元数据集并关机以做到无疑所谓，gvnntr.bat概要同上，将EXE数据集读取TXT，DLL数据集读取DUser.dll

侦测到Quick杀毒时，

分派下述操控

●创始人C:\ProgramData\gvnntr\，将credwiz.exe元数据集拷贝至该索引，将DLL数据集读取C:\ProgramData\extrafile.txt后静止至C:\ProgramData\gvnntr\DUser.dll

●通过BAT元数据集做到无疑所谓，释放EXE数据集到%Temp%\gvnntr\gvnntr.exe

●休眠1min，关机 C:ProgramDatagvnntrcredwiz.exe

侦测到WindowsDefender杀毒时，

分派下述操控

●创始人C:\ProgramData\gvnntr\，将credwiz.exe元数据集拷贝至该索引，将DLL数据集读取C:\ProgramData\newimage.jpg后将newimage.jpg静止至C:\ProgramData\gvnntr\DUser.dll

●在C:\ProgramData\gvnntr\索引下创始人gvnntr.bat元数据集并关机以做到无疑所谓，将EXE数据集读取%Temp%\gvnntr\gvnntr.exe

●休眠1min，关机 C:ProgramDatagvnntrcredwiz.exe

Loader基本版的另一元数据集jscy.txt，主要是将上述变量gvnntr来得改称vmmbs，其他范式均不变。其里EXE数据集与DLL数据集hash值如下

98a0ed81f68297ea804e8209a28b91be | EXE

03

第三收尾

credwiz.exe关机后将载入同索引下的DUser.dll，该DLL的主要功能为关机%Temp%\gvnntr\gvnntr.exe

gvnntr.exe为终究收尾远控软件AllaKore RAT。AllaKore是一种发布新闻可用的基于Delphi的RAT，常与CetaRAT一起用以SideCopy的拦截商业活动里。AllaKore的欺诈功能包括：键盘记录、猎取屏幕截图、列出元数据集夹和元数据集、上传/基本版元数据集、窃取表单数据集、获取/来得换壁纸。

此次商业活动里，该RAT被命名为POISONManager

其里包含的29553fb6797c15d99bcb2d9e27abd49d组件可关连性到其他AllaKore远控工具，终究连接到 209.126.80.23:{6391、3281}

tmeew[.]com解出到162.241.85.104

思考总结

01

关连性

通过抽样特征我们关连性到该组织在来年上半年拦截商业活动里的抽样如下。

Hash

FileName/描述

LVE_CUM_POSTING_(ARMY_PERS).pdf.lnk

pay and allces.pdf.lnk.jpg.lnk（退休金与社会保险）

254deb71e7833cd784f0112b120a22f6

Army-Cyber-Gp-Alt-Feb-2022.pdf.lnk（陆军网络研究所）

4eda1982d897c05df9f501e812da645a

3fc3f755d6ffb0fe05255a107e23fdc9

Updated-Pay-and-Allowances-Order.pdf.lnk（预览的工资和津贴交付）

278ea2f466cee0c26849b49b04cfd064

（Covid 19 审批元数据集）

9840f8c397dd5a978f6b10044dca54ff

（民主选举相关）

revised-criteria.pdf.lnk（单位修订元数据集审批）

281f5db2e7bdc3765a15035fa11f8364

255e2c84f53e7be6dfb830a8cc73b276

02

总结

SideCopy组织近一年来拦截商业活动频繁，拦截装备从C#、Delphi其发展至Golang，从Windows其发展除此以外平台，拦截最终目标却始终手里追踪印度国防部。此外，该组织乐此不疲地在拦截商业活动里适用LNK伪装成JPG、Word、PDF等元数据集，暗示此拦截手段针对特定最终目标人群有较大的成功率。

安恒建议广大用户谨慎对待未知可能的邮件附件及链接，降低对LNK元数据集拦截的警惕。如有只能鉴别的未知可能抽样，可以投递至安恒云沙箱查看推论结果后再开展全面性操控。

提防建议

现在必需数据集部已符合相关威胁侦测潜能，并不相同其产品已将IoC情报的定制：

●安恒其产品已定制潜能：

针对该惨剧里的最新IoC情报，下述其产品的正式版可自动完成预览，若无法自动预览则请联系技术人员手动预览：

（1）AiLPHA分析平台V5.0.0及以上正式版

（2）AiNTA通讯设备V1.2.2及以上正式版

（3）AXDR平台V2.0.3及以上正式版

（4）APT通讯设备V2.0.67及以上正式版

（5）EDR其产品V2.0.17及以上正式版

● 安恒云沙盒已定制了该惨剧里的抽样特征：

用户可通过云沙盒：

，对出事元数据集开展免费分析，并基本版研究报告。

● IOC：

朝鲜黑客利用Maui拦截新泽西州卫生保健组织长达一年之久

2022.07.11

机械工程浏览器频现？这家IT服务巨头也成为拦截最终目标！

2022.07.08

NPM 供应链拦截影响数百个网站和应用程序

2022 .07.07

。

成都风湿检查哪家医院好
成都甲状腺正规的医院
沈阳哪个医院做人流好
天津白癜风治疗医院
信阳看妇科去哪个医院好