自 2020 年 4 月以來�,一個(gè)名為SideWinder的“攻擊性”高級(jí)持續(xù)威脅 (APT) 組織與 1,000 多次新攻擊有關(guān)。
網(wǎng)絡(luò)安全公司卡巴斯基(Kaspersky)表示:“這個(gè)威脅行為者的一些主要特征使其在其他攻擊者中脫穎而出��,包括攻擊的數(shù)量���、頻率和持久性���,以及在其操作中使用的大量加密和混淆惡意組件�����!北驹略 Black Hat Asia 上發(fā)表的一份報(bào)告中說���。
SideWinder����,也稱為 Rattlesnake 或 T-APT-04��,據(jù)說至少自 2012 年以來就一直活躍�����,其目標(biāo)是阿富汗、孟加拉國等中亞國家的軍事����、國防、航空�����、IT 公司和法律公司�����,尼泊爾�����、巴基斯坦��。
卡巴斯基上月底發(fā)布的 2022 年第一季度 APT 趨勢報(bào)告顯示�����,威脅行為者正在積極將其目標(biāo)的地理范圍從其傳統(tǒng)的受害者概況擴(kuò)展到包括新加坡在內(nèi)的其他國家和地區(qū)���。
SideWinder 還被觀察到利用正在進(jìn)行的俄羅斯 - 烏克蘭戰(zhàn)爭作為其網(wǎng)絡(luò)釣魚活動(dòng)的誘餌�����,以分發(fā)惡意軟件和竊取敏感信息�。
圖片
對(duì)抗性集體的感染鏈以包含惡意軟件操縱的文檔而著稱��,這些文檔利用 Microsoft Office 的公式編輯器組件 ( CVE-2017-11882 ) 中的遠(yuǎn)程代碼漏洞在受感染的系統(tǒng)上部署惡意負(fù)載��。
此外���,SideWinder 的工具集采用了幾個(gè)復(fù)雜的混淆例程����、為每個(gè)惡意文件使用唯一密鑰進(jìn)行加密����、多層惡意軟件以及將命令和控制 (C2) 基礎(chǔ)設(shè)施字符串拆分為不同的惡意軟件組件。
三階段感染序列從惡意文檔丟棄 HTML 應(yīng)用程序 (HTA) 有效負(fù)載開始����,該負(fù)載隨后加載基于 .NET 的模塊以安裝第二階段 HTA 組件,該組件旨在部署基于 .NET 的安裝程序��。
在下一階段,此安裝程序既負(fù)責(zé)在主機(jī)上建立持久性�����,又負(fù)責(zé)將最終后門加載到內(nèi)存中��。就其本身而言�,植入物能夠收集感興趣的文件以及系統(tǒng)信息等。
在過去兩年中����,威脅參與者使用了不少于 400 個(gè)域和子域。為了增加額外的隱藏層�,用于 C2 域的 URL 被分成兩部分,第一部分包含在 .NET 安裝程序中���,后半部分在第二階段 HTA 模塊中加密�����。
卡巴斯基的 Noushin Shabab 說:“這個(gè)威脅參與者使用各種感染媒介和高級(jí)攻擊技術(shù)具有相對(duì)較高的復(fù)雜性����,”他敦促組織使用最新版本的 Microsoft Office 來緩解此類攻擊��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
