疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

概述

响尾蛇（SideWinder）组织是据称具有南亚背景的APT团伙，其主要针对周边国家政府机构等重要组织开展攻击活动，窃取敏感信息。

在之前的文章中提到在线沙箱any.run是学生党获得样本分析的好地方，而关注一些安全研究员的社交账号则是获取APT样本信息的有效渠道。

近日，安全研究员公开披露了几起响尾蛇的攻击样本

搜索样本

因看到其中有新冠病毒相关的信息，遂想找到样本分析，遗憾的是，在anyrun搜索发现，只有一个样本存在，其他样本均没有在anyrun沙箱。

通过沙箱可发现，该样本是lnk文件，运行后将从远程下载hta文件执行

可惜的是远程连接已经404了，没法继续分析后续。通过anyrun直接找样本分析的路子断了，再次尝试从VT获取一些样本信息。

通过VT 搜索发现利用冠状病毒相关信息的样本也是lnk,运行后将会连接 http://www[.]d01fa[.]net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta 下载后续执行。但是该连接也失效了，幸运的是，在该样本的评论初，发现一个评论且该评论带有一个anyrun连接

进入anyrun可见该样本是一个hta文件，且其标题与lnk文件相同，且其网络行为中的域名也与lnk文件后续域名相同。因此可判定该样本即为lnk文件后续

至此，可以整理出该样本的相关信息如下

样本分析

样本以巴基斯坦军队抗击冠状病毒为诱饵，并假装是pdf快捷链接，诱导受害者点击执行，一旦受害者执行，该lnk文件将会从 http://www[.]d01fa[.]net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta 下载后续Hta执行。

Hta文件内容如下

该hta主要功能为解密加载一个.netdll.

解密出dll后，获取杀软信息

加载dll,传入四个参数，分别是后续hta地址，传杀软信息的ur+杀软信息，诱饵pdf的内容，诱饵pdf的文件名

之后该dll将释放诱饵文件，诱饵内容与巴基斯坦军队抗击疫情相关

‘将再次从远程下载一个hta文件执行，但该链接目前又失效了，继续anyrun大法下载。

下载回来的hta与之前的类似，仍是解密加载一个dll文件。加载后调用dll的work函数

该dll主要将在\ProgramData\fontFiles目录下释放四个文件，并将白文件加入自启动，通过白文件加载该目录下的恶意Duser.dll

Duser.dll加载起来后，将读取所在目录下的tmp文件，并解密加载该文件

由于dnspy不能直接调试dll,所以可将该解密算法直接拷贝到vs里，解密文件写入即可

解密加载后的文件即为最终的恶意木马，该木马主要用于窃取信息以及接受远程命令执行，运行后，首先从资源解密配置

解密的配置信息如下，信息内容包括收集保存文件目录以及感兴趣的文件类型等

之后创建两个定时器函数执行

GetTimerCallback用于与c2通信，获取命令执行，根据不同命令执行相应功能

支持的功能如下

1.获取系统信息保存到%programdata%\\fontFiles\\font目录下的随机名.sir中

获取系统信息如下

2.收集所有目录信息的信息保存到%programdata%\\fontFiles\\font目录下的随机名.flc中

3． 收集特定文件类型的信息保存到%programdata%\\fontFiles\\font目录下的随机名.fls中

4.获取文件保存

5.更新c2地址

6.更新是否上传指定文件参数

7.重置想获取的特殊文件类型

8.设置文件大小限制

9.指定上传文件

另一个定时函数PostTimerCallback用于上传文件

关联

此次样本与之前披露的过的响尾蛇样本基本一致

且其c2: cloud-apt.net在各威胁平台上都有响尾蛇的tag