透明部落与SideCopy共用基础设施露出马脚

背景

2020年9月，Quick Heal披露了一起针对印度国防军和武装部队陆军人员的窃密行动并将其命名为Operation SideCopy（以下简称SideCopy）。

由于该活动中几乎所有 C2 资产都属于 Contabo GmbH（一家位于西欧的互联网服务提供商），服务器名称与已披露的 Transparent Tribe（透明部落）APT组织报告中的服务器名称相似，并且SideCopy与Transparent Tribe攻击目标均为印度国防部，因此Quick Heal小组认为该组织或与Transparent Tribe 组织有联系^[1]。

时隔一年，奇安信威胁情报中心红雨滴团队发现一起针对印度军方的攻击活动^[2]，其样本与Transparent Tribe组织存在弱关联。随后，Cyble研究人员发现了相似度极高的样本，并将其归因为SideCopy组织^[3]

Transparent Tribe（透明部落）于2016年2月由Proofpoint披露并命名，该组织也被称为ProjectM、C-Major，被广泛认为来自南亚地区某国。其最早的活动可以追溯到2012年，主要针对印度政府、军队或相关组织，利用社会工程学进行鱼叉攻击，向目标投递带有VBA的DOC、XLS文档，执行诱饵文档中的宏代码释放执行CrimsonRAT、PeppyRAT等，窃取相关资料信息。

SideCopy组织至少自 2019 年以来一直在活动，与Transparent Tribe同属南亚地区某国，主要针对南亚国家的国防军和武装部队人员、陆军人员进行窃密活动。该组织通过模仿响尾蛇APT的攻击手法来传递自己的恶意软件，并以此达到迷惑安全人员的目的。

近日，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到Transparent Tribe组织的针对印度国防军官的攻击样本。根据红雨滴研究人员深入分析，发现Transparent Tribe组织与SideCopy居然共用了网络基础设施，两者可能属于统一组织或有较大关联。此次的攻击活动有如下特点：

1. 该组织将其downloader伪装为印度政府国家信息中心的Kavach身份验证程序，Crimson RAT也利用Chrome图标进行了伪装；

1. 此次攻击使用的Crimson RAT存在较多与恶意软件的更新、下发和执行有关的C2指令；

1. 在downloader下载Crimson RAT及诱饵的域名下发现了疑似SideCopy组织的样本。

样本分析

样本信息

本次捕获的Transparent Tribe（透明部落）组织样本均为C# 64位程序。其中Kavach.exe为该组织使用的下载器，从远程下载诱饵及CrimsonRAT到本机执行。样本具体信息如下：

文件名