【安全资讯】Sidewinder转向针对核能和海事组织的攻击

概要：

网络安全研究人员发现，Sidewinder网络攻击组织开始将目标转向核能和海事机构。作为一个高度活跃的APT组织，Sidewinder以其对政府和军事机构的攻击而闻名，其近期的战术转变引起了广泛关注。

主要内容：

Sidewinder自2012年成立以来，主要针对中国、巴基斯坦、斯里兰卡及非洲部分地区的政府和军事机构。近期，该组织在非洲的攻击活动显著增加，特别是在吉布提的攻击频率上升，并开始将目光投向埃及，显示出其战术的变化。尤其值得注意的是，Sidewinder开始增加对核电厂及其他核能组织的攻击，特别是在南亚地区。

研究人员指出，Sidewinder的攻击方法并未发生显著变化，仍然依赖于通过恶意文档进行的远程代码执行（RCE）漏洞利用。攻击者通过发送带有DOCX文件的钓鱼邮件，利用远程模板注入技术下载存储在攻击者控制的远程服务器上的RTF文件。该文件利用已知漏洞（CVE-2017-11882）执行恶意代码，启动多级感染过程，最终安装名为Backdoor Loader的恶意软件。

此外，Sidewinder的受害者范围正在扩大，除了传统的政府、军事和外交部门外，海事、物流和核能实体也成为新的攻击目标。尽管其主要战术仍然是钓鱼攻击和利用老旧漏洞，但其快速更新工具以规避检测的能力显示出其背后攻击者的高超技术。Kaspersky的研究表明，Sidewinder是一个高度先进且危险的对手，能够有效地威胁关键资产和高价值目标。