SideWinder是最活跃、最多产的APT组织之一。研究人员发现了以前未记录的攻击基础设施,该基础设施被SideWinder用来攻击位于巴基斯坦和中国的实体。研究人员检测到55个以前未知的 IP 地址,SideWinder 可以在未来的攻击中使用这些地址。已识别的网络钓鱼域模仿新闻、政府、电信和金融部门的各种组织。
从2022 年 11 月下旬开始,SideWinder组织使用服务器端多态性技术攻击巴基斯坦政府官员。这种技术可允许攻击者绕过传统的基于签名的防病毒(AV)检测来提供其下一阶段的有效载荷。其中,由于多态恶意软件是通过加密和混淆改变其外观的恶意代码,因此基于签名的传统AV软件很难捕获此类恶意软件。此外,从2023 年 3 月上旬开始,SideWinder组织将土耳其确定为新目标。
2021年6月至2021年11月期间,SideWinder攻击者试图以阿富汗、不丹、缅甸、尼泊尔和斯里兰卡的 61 个政府、军队、执法部门和其他组织为目标发起钓鱼攻击。攻击始于鱼叉式钓鱼邮件,会导致下载恶意文档、LNK文件或恶意payload。活动中有两个新工具:SideWinder.RAT.b(一种远程访问木马)和SideWinder.StealerPy(一种用 Python 编写的自定义信息窃取程序)。
研究人员捕获到一起SideWinder组织的攻击活动,攻击者通过钓鱼邮件向我国某高校发起网络攻击,通过在邮件中附带恶意附件执行恶意代码,并且攻击者在打包压缩包过程中遗留了打包文件,通过打包文件可以关联出一批同属于该组织的其他攻击样本。除了针对我国的攻击外,攻击者还利用模板注入的方式投递恶意文档,向巴基斯坦政府、军队等单位发起攻击,根据该组织以往的攻击活动判断,后续会下载攻击者的下载器木马执行后续攻击。
Sidewinder组织在最近的活动中,使用与巴基斯坦相关的学校或者军队为诱饵进行鱼叉攻击,其攻击技战法(TTP)均使用了DotNetToJScript工具生成JS代码来加载.net程序。近期的攻击活动有以下攻击手段特点:(1)擅用社会工程学,使用更贴切的诱饵,诱饵甚至来自真实文件;(2)多阶段下载,并对后续载荷进行混淆处理;(3)使用轻量级远程Shell后门,甚至被曝光后仍继续使用相关C2。
SideWinder APT组织在针对巴基斯坦的活动中使用了一种名为“WarHawk”的新后门。WarHawk后门由四个模块组成:下载和执行模块;命令执行模块;文件管理器 InfoExfil 模块;UploadFromC2模块。WarHawk后门包含各种提供Cobalt Strike的恶意模块,并结合了新的TTP,例如KernelCallBackTable注入和巴基斯坦标准时区检查。研究人员发现了托管在巴基斯坦国家电力监管局合法网站上的 ISO 文件,这可能表明他们的网络服务器受到了威胁。
响尾蛇(SideWinder)是疑似具有南亚背景的APT组织,其攻击活动最早可追溯到2012年。研究人员捕获到一批疑似SideWinder组织Android端攻击样本。此次捕获的样本主要针对南亚地区开展攻击活动,国内用户不受其影响。攻击活动有如下特点:1. 样本托管在Google Play商店,伪装成Secure VPN(VPN加密通信软件)、Supereme Allah、Z Cleaner(手机清理软件)、Secure browser(浏览器软件),安装人数超过1K+。2. C2地址隐蔽性增强,包括硬编码在样本中、加密保存在google play安装链接参数中、通过firebase后台下发C2。
SideWinder 组织,又被称“响尾蛇”、“APT-C-17”、“T-APT-04”,主要针对巴基斯坦等南亚国家进行定向攻击。近日,研究人员检测到SideWinder 组织常用的鱼叉式钓鱼攻击文件,以及相关远控程序。此次钓鱼攻击针对的目标为巴基斯坦财务司和外交部。 攻击者使用鱼叉式钓鱼文件 Pay and Pension Increase Circular_Finance Division.zip(工资和养老金增加通知_财务司.zip),解压后得到 SideWinder 常用lnk攻击文件,使用 mshta 去下载远程 hta 文件。
研究人员捕获了一起略为特殊的攻击活动事件。该攻击活动由APT-C-24(响尾蛇SideWinder)组织发起,一改往日的攻击框架,使用了全新的攻击方式和流程。在这次攻击活动中,因为软件版本原因,导致按照正常代码执行逻辑无法正常完成攻击活动,似乎是响尾蛇APT组织在代码的测试环境上并未完全与中文环境同步。 响尾蛇组织在本次攻击活动围绕FileSyncShell.dll构建了前期的执行流程,使用恶意程序替换FileSyncShell.dll,以DLL侧加载的方式通过explorer.exe来启动FileSyncShell.dll,从而实现攻击流程。攻击流程如下:
2022 年 3 月中旬,来自世界各地的至少三个不同的APT组织发起了鱼叉式网络钓鱼活动,利用正在进行的俄乌战争作为诱饵,分发恶意软件并窃取敏感信息。这些活动由El Machete、Lyceum 和 SideWinder发起,针对多个行业,包括尼加拉瓜、委内瑞拉、以色列、沙特阿拉伯和巴基斯坦的能源、金融和政府部门。El Machete感染链Lyceum感染链