一场名为 “Sindoor Dropper” 的新型恶意软件攻击活动,正通过复杂的鱼叉式钓鱼技术和多阶段感染链针对 Linux 系统发起攻击。
该攻击活动以近期印巴冲突为主题设计诱饵(此主题被称为 “Operation Sindoor”,即 “Sindoor 行动”),诱骗受害者执行恶意文件。
此次攻击的显著特征是依赖 “武器化的.desktop 文件”—— 这种攻击方法此前与高级持续性威胁(APT)组织 APT36 相关联,该组织也被称为 “Transparent Tribe”(透明部落)或 “Mythic Leopard”(神秘豹)。
攻击流程与技术细节
攻击始于用户打开一个名为 “Note_Warfare_Ops_Sindoor.pdf.desktop” 的恶意.desktop 文件,该文件伪装成标准 PDF 文档。 根据 Nextron 系统分析,该文件执行后会打开一个良性的诱饵 PDF,以维持合法性假象,同时在后台悄悄启动复杂且高度混淆的感染流程。 这一感染流程经过专门设计,可规避静态与动态分析 —— 据披露,初始载荷在被发现时,在 VirusTotal(病毒检测平台)上的检测结果为零。 .desktop 文件会下载多个组件,包括 AES 解密器(文件名为 “mayuw”)和加密下载器(文件名为 “shjdfhd”): 随后,多阶段感染流程启动,每个组件会解密并运行下一个组件。流程中包含基础的反虚拟机检测机制,例如验证主板与厂商名称、将特定 MAC 地址前缀加入黑名单、检查设备运行时间等。 所有在投放器(dropper)中的字符串均通过 Base64 编码与 DES-CBC 加密相结合的方式进行混淆,以进一步阻碍安全分析。 最终载荷是经过改造的 MeshAgent—— 这是一款合法的开源远程管理工具。一旦部署成功,MeshAgent 会连接至托管在亚马逊云服务(AWS)EC2 实例上的命令与控制(C2)服务器,服务器地址为:wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx。
Nextron 指出,此举使攻击者获得被入侵系统的完全远程访问权限,能够监控用户活动、在网络中横向移动,并窃取敏感数据。
攻击活动意义与影响
“Sindoor Dropper” 攻击活动凸显了威胁攻击者技术手段的演变 —— 其明确将目标聚焦于 Linux 环境,而以往钓鱼攻击对该环境的关注度相对较低。 攻击者将时效性强、特定地区相关的社会工程学手段,与先进的规避技术相结合,显著提高了成功入侵敏感网络的概率。Sindoor Dropper 相关威胁指标(IOCs)
| 威胁指标类型 | 具体指标 | 描述 |
|---|---|---|
| 文件哈希值 | 9943bdf1b2a37434054b14a1a56a8e67aaa6a8b733ca785017d3ed8c1173ac59 |
初始钓鱼载荷(文件名为 “Note_Warfare_Ops_Sindoor.pdf.desktop”) |
| 文件哈希值 | 9a1adb50bb08f5a28160802c8f315749b15c9009f25aa6718c7752471db3bb4b |
解密后的 AES 解密器(文件名为 “mayuw”) |
| 文件哈希值 | 0f4ef1da435d5d64ccc21b4c2a6967b240c2928b297086878b3dcb3e9c87aa23 |
第二阶段下载器(文件名为 “shjdfhd”) |
| 文件哈希值 | 38b6b93a536cbab5c289fe542656d8817d7c1217ad75c7f367b15c65d96a21d4 |
第三阶段下载器(文件名为 “inter_ddns”)及解密后的 MeshAgent 载荷(文件名为 “server2”) |
| 文件哈希值 | 05b468fc24c93885cad40ff9ecb50594faa6c2c590e75c88a5e5f54a8b696ac8 |
最终 MeshAgent 载荷(文件名为 “server2”) |
| 文件哈希值 | ba5b485552ab775ce3116d9d5fa17f88452c1ae60118902e7f669fd6390eae97 |
诱饵 PDF 文档(路径为 “/tmp/Note_Warfare.pdf”) |
| 文件名 | Note_Warfare_Ops_Sindoor.pdf.desktop |
用于钓鱼的初始武器化.desktop 文件 |
| 文件名 | /tmp/Note_Warfare.pdf |
显示给受害者的良性诱饵文档 |
| 文件名 | mayuw |
AES 解密器载荷 |
| 文件名 | shjdfhd |
加密的第二阶段下载器 |
| 文件名 | access |
用于下一阶段的 AES 解密器 |
| 文件名 | inter_ddns |
第三阶段下载器 |
| 文件名 | server2 |
最终 MeshAgent 载荷 |
| 网络指标 | wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx |
MeshAgent 载荷对应的命令与控制(C2)服务器 URL |
| 网络指标 | indianbosssystems.ddns[.]net |
恶意 C2 域名 |
| 网络指标 | 54.144.107[.]42 |
C2 服务器的 IP 地址(托管于 AWS) |
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论