自 2020 年 4 月以来,一个名为SideWinder的“攻击性”高级持续威胁 (APT) 组织与 1,000 多次新攻击有关。
网络安全公司卡巴斯基(Kaspersky)表示:“这个威胁行为者的一些主要特征使其在其他攻击者中脱颖而出,包括攻击的数量、频率和持久性,以及在其操作中使用的大量加密和混淆恶意组件。”本月在 Black Hat Asia 上发表的一份报告中说。
SideWinder,也称为 Rattlesnake 或 T-APT-04,据说至少自 2012 年以来就一直活跃,其目标是阿富汗、孟加拉国等中亚国家的军事、国防、航空、IT 公司和法律公司,尼泊尔、巴基斯坦。
卡巴斯基上月底发布的 2022 年第一季度 APT 趋势报告显示,威胁行为者正在积极将其目标的地理范围从其传统的受害者概况扩展到包括新加坡在内的其他国家和地区。
SideWinder 还被观察到利用正在进行的俄罗斯 - 乌克兰战争作为其网络钓鱼活动的诱饵,以分发恶意软件和窃取敏感信息。
图片
对抗性集体的感染链以包含恶意软件操纵的文档而著称,这些文档利用 Microsoft Office 的公式编辑器组件 ( CVE-2017-11882 ) 中的远程代码漏洞在受感染的系统上部署恶意负载。
此外,SideWinder 的工具集采用了几个复杂的混淆例程、为每个恶意文件使用唯一密钥进行加密、多层恶意软件以及将命令和控制 (C2) 基础设施字符串拆分为不同的恶意软件组件。
三阶段感染序列从恶意文档丢弃 HTML 应用程序 (HTA) 有效负载开始,该负载随后加载基于 .NET 的模块以安装第二阶段 HTA 组件,该组件旨在部署基于 .NET 的安装程序。
在下一阶段,此安装程序既负责在主机上建立持久性,又负责将最终后门加载到内存中。就其本身而言,植入物能够收集感兴趣的文件以及系统信息等。
在过去两年中,威胁参与者使用了不少于 400 个域和子域。为了增加额外的隐藏层,用于 C2 域的 URL 被分成两部分,第一部分包含在 .NET 安装程序中,后半部分在第二阶段 HTA 模块中加密。
卡巴斯基的 Noushin Shabab 说:“这个威胁参与者使用各种感染媒介和高级攻击技术具有相对较高的复杂性,”他敦促组织使用最新版本的 Microsoft Office 来缓解此类攻击。
