安全星图平台

响尾蛇

响尾蛇( Sidewinder)是2018年才被披露的网络威胁组织，疑似与印度有关。该组织长期针对中国和巴基斯坦等东南亚国家的政府，能源，军事，矿产等领域进行敏感信息窃取等攻击活动。SideWinder的最早活动可追溯到2012年，被捕获的诱饵文档中包含“巴基斯坦政府经济事务部”等关键字，可见是对特定目标的定向攻击行为。从近几年该组织活动来看也会针对国内特定目标进行攻击，如驻华大使馆，特定部门等。

历史活动组织概况 IOC情报

2023-05-23
SideWinder组织攻击基础设施披露安恒威胁情报中心

SideWinder是最活跃、最多产的APT组织之一。研究人员发现了以前未记录的攻击基础设施，该基础设施被SideWinder用来攻击位于巴基斯坦和中国的实体。研究人员检测到55个以前未知的 IP 地址，SideWinder 可以在未来的攻击中使用这些地址。已识别的网络钓鱼域模仿新闻、政府、电信和金融部门的各种组织。
2023-05-15
SideWinder组织使用服务器端多态性技术攻击巴基斯坦政府官员安恒威胁情报中心

从2022 年 11 月下旬开始，SideWinder组织使用服务器端多态性技术攻击巴基斯坦政府官员。这种技术可允许攻击者绕过传统的基于签名的防病毒(AV)检测来提供其下一阶段的有效载荷。其中，由于多态恶意软件是通过加密和混淆改变其外观的恶意代码，因此基于签名的传统AV软件很难捕获此类恶意软件。此外，从2023 年 3 月上旬开始，SideWinder组织将土耳其确定为新目标。
2023-02-24
SideWinder针对亚太地区攻击活动分析安恒威胁情报中心

2021年6月至2021年11月期间，SideWinder攻击者试图以阿富汗、不丹、缅甸、尼泊尔和斯里兰卡的 61 个政府、军队、执法部门和其他组织为目标发起钓鱼攻击。攻击始于鱼叉式钓鱼邮件，会导致下载恶意文档、LNK文件或恶意payload。活动中有两个新工具：SideWinder.RAT.b（一种远程访问木马）和SideWinder.StealerPy（一种用 Python 编写的自定义信息窃取程序）。
2023-02-23
SideWinder组织针对国内高校发起钓鱼攻击安恒威胁情报中心

研究人员捕获到一起SideWinder组织的攻击活动，攻击者通过钓鱼邮件向我国某高校发起网络攻击，通过在邮件中附带恶意附件执行恶意代码，并且攻击者在打包压缩包过程中遗留了打包文件，通过打包文件可以关联出一批同属于该组织的其他攻击样本。除了针对我国的攻击外，攻击者还利用模板注入的方式投递恶意文档，向巴基斯坦政府、军队等单位发起攻击，根据该组织以往的攻击活动判断，后续会下载攻击者的下载器木马执行后续攻击。
2022-12-15
Sidewinder组织近期攻击活动简报安恒威胁情报中心

Sidewinder组织在最近的活动中，使用与巴基斯坦相关的学校或者军队为诱饵进行鱼叉攻击，其攻击技战法(TTP)均使用了DotNetToJScript工具生成JS代码来加载.net程序。近期的攻击活动有以下攻击手段特点：(1)擅用社会工程学，使用更贴切的诱饵，诱饵甚至来自真实文件；(2)多阶段下载，并对后续载荷进行混淆处理；(3)使用轻量级远程Shell后门，甚至被曝光后仍继续使用相关C2。
2022-10-25
WarHawk：SideWinder APT组织的新后门安恒威胁情报中心

SideWinder APT组织在针对巴基斯坦的活动中使用了一种名为“WarHawk”的新后门。WarHawk后门由四个模块组成：下载和执行模块；命令执行模块；文件管理器 InfoExfil 模块；UploadFromC2模块。WarHawk后门包含各种提供Cobalt Strike的恶意模块，并结合了新的TTP，例如KernelCallBackTable注入和巴基斯坦标准时区检查。研究人员发现了托管在巴基斯坦国家电力监管局合法网站上的 ISO 文件，这可能表明他们的网络服务器受到了威胁。
2022-06-14
SideWinder利用Google Play传播的恶意Android软件分析安恒威胁情报中心

响尾蛇（SideWinder）是疑似具有南亚背景的APT组织，其攻击活动最早可追溯到2012年。研究人员捕获到一批疑似SideWinder组织Android端攻击样本。此次捕获的样本主要针对南亚地区开展攻击活动，国内用户不受其影响。攻击活动有如下特点：1. 样本托管在Google Play商店，伪装成Secure VPN(VPN加密通信软件)、Supereme Allah、Z Cleaner(手机清理软件)、Secure browser(浏览器软件)，安装人数超过1K+。2. C2地址隐蔽性增强，包括硬编码在样本中、加密保存在google play安装链接参数中、通过firebase后台下发C2。
2022-06-10
SideWinder组织正在攻击巴基斯坦安恒威胁情报中心

SideWinder 组织，又被称“响尾蛇”、“APT-C-17”、“T-APT-04”，主要针对巴基斯坦等南亚国家进行定向攻击。近日，研究人员检测到SideWinder 组织常用的鱼叉式钓鱼攻击文件，以及相关远控程序。此次钓鱼攻击针对的目标为巴基斯坦财务司和外交部。攻击者使用鱼叉式钓鱼文件 Pay and Pension Increase Circular_Finance Division.zip（工资和养老金增加通知_财务司.zip），解压后得到 SideWinder 常用lnk攻击文件，使用 mshta 去下载远程 hta 文件。
2022-05-20
APT-C-24响尾蛇最新攻击活动简报安恒威胁情报中心

研究人员捕获了一起略为特殊的攻击活动事件。该攻击活动由APT-C-24（响尾蛇SideWinder）组织发起，一改往日的攻击框架，使用了全新的攻击方式和流程。在这次攻击活动中，因为软件版本原因，导致按照正常代码执行逻辑无法正常完成攻击活动，似乎是响尾蛇APT组织在代码的测试环境上并未完全与中文环境同步。响尾蛇组织在本次攻击活动围绕FileSyncShell.dll构建了前期的执行流程，使用恶意程序替换FileSyncShell.dll，以DLL侧加载的方式通过explorer.exe来启动FileSyncShell.dll，从而实现攻击流程。攻击流程如下：
2022-04-06
多个APT组织利用俄乌冲突进行网络间谍活动猎影实验室

2022 年 3 月中旬，来自世界各地的至少三个不同的APT组织发起了鱼叉式网络钓鱼活动，利用正在进行的俄乌战争作为诱饵，分发恶意软件并窃取敏感信息。这些活动由El Machete、Lyceum 和 SideWinder发起，针对多个行业，包括尼加拉瓜、委内瑞拉、以色列、沙特阿拉伯和巴基斯坦的能源、金融和政府部门。El Machete感染链Lyceum感染链
查看更多