|
自 2020 年 4 月以來����,一個(gè)名為SideWinder的“攻擊性”高級(jí)持續(xù)威脅 (APT) 組織與 1,000 多次新攻擊有關(guān)。 網(wǎng)絡(luò)安全公司卡巴斯基(Kaspersky)表示:“這個(gè)威脅行為者的一些主要特征使其在其他攻擊者中脫穎而出��,包括攻擊的數(shù)量���、頻率和持久性,以及在其操作中使用的大量加密和混淆惡意組件���?!?/span>本月在 Black Hat Asia 上發(fā)表的一份報(bào)告中說��。 SideWinder���,也稱為 Rattlesnake 或 T-APT-04,據(jù)說至少自 2012 年以來就一直活躍����,其目標(biāo)是阿富汗�、孟加拉國等中亞國家的軍事、國防�����、航空��、IT 公司和法律公司���,尼泊爾、巴基斯坦�。 卡巴斯基上月底發(fā)布的 2022 年第一季度 APT 趨勢(shì)報(bào)告顯示,威脅行為者正在積極將其目標(biāo)的地理范圍從其傳統(tǒng)的受害者概況擴(kuò)展到包括新加坡在內(nèi)的其他國家和地區(qū)��。 SideWinder 還被觀察到利用正在進(jìn)行的俄羅斯 - 烏克蘭戰(zhàn)爭(zhēng)作為其網(wǎng)絡(luò)釣魚活動(dòng)的誘餌���,以分發(fā)惡意軟件和竊取敏感信息�。 
對(duì)抗性集體的感染鏈以包含惡意軟件操縱的文檔而著稱,這些文檔利用 Microsoft Office 的公式編輯器組件 ( CVE-2017-11882 ) 中的遠(yuǎn)程代碼漏洞在受感染的系統(tǒng)上部署惡意負(fù)載����。 此外,SideWinder 的工具集采用了幾個(gè)復(fù)雜的混淆例程�����、為每個(gè)惡意文件使用唯一密鑰進(jìn)行加密、多層惡意軟件以及將命令和控制 (C2) 基礎(chǔ)設(shè)施字符串拆分為不同的惡意軟件組件����。 三階段感染序列從惡意文檔丟棄 HTML 應(yīng)用程序 (HTA) 有效負(fù)載開始,該負(fù)載隨后加載基于 .NET 的模塊以安裝第二階段 HTA 組件�,該組件旨在部署基于 .NET 的安裝程序。 在下一階段���,此安裝程序既負(fù)責(zé)在主機(jī)上建立持久性,又負(fù)責(zé)將最終后門加載到內(nèi)存中�。就其本身而言,植入物能夠收集感興趣的文件以及系統(tǒng)信息等��。 在過去兩年中��,威脅參與者使用了不少于 400 個(gè)域和子域�����。為了增加額外的隱藏層��,用于 C2 域的 URL 被分成兩部分����,第一部分包含在 .NET 安裝程序中,后半部分在第二階段 HTA 模塊中加密����。 卡巴斯基的 Noushin Shabab 說:“這個(gè)威脅參與者使用各種感染媒介和高級(jí)攻擊技術(shù)具有相對(duì)較高的復(fù)雜性,”他敦促組織使用最新版本的 Microsoft Office 來緩解此類攻擊���。
|
