自2020年4月以来,名为SideWinder的“攻击性”高级持续威胁(APT)组织已与1,000多次新攻击相关联。网络安全公司卡巴斯基说:“这个威胁行为者的一些关键特征使其有别于其他攻击者,包括攻击的数量、频率和持久性,以及在其操作中使用的广泛加密和混淆。”恶意组件,”本月在亚洲黑帽大会上发布的一份报告称。SideWinder,也称为Rattlesnake或T-APT-04,据说至少从2012年开始活跃,目标是军事、国防、航空、IT公司和法律阿富汗、孟加拉国、尼泊尔、巴基斯坦等中亚国家的公司。卡巴斯基上个月底发布的2022年第一季度APT趋势报告显示,威胁行为者正在积极地将其目标的地理范围扩大到其他国家和地区,超出传统的受害者概况,区域,包括新加坡。还观察到SideWinder使用正在进行的俄罗斯-乌克兰战争作为其网络钓鱼活动的诱饵,以分发恶意软件和窃取敏感信息。对抗组的感染链以包含利用远程代码漏洞的恶意软件操纵的文档而闻名在MicrosoftOffice的公式编辑器组件(CVE-2017-11882)中,在受感染的系统上部署恶意负载。另外,SideWinder的工具集采用了多种复杂的混淆程序,使用每个恶意文件的唯一密钥进行加密,多层恶意软件,并将命令和控制(C2)基础设施字符串拆分为不同的恶意软件组件。三个阶段的感染序列从恶意文档开始投放HTML应用程序(HTA)负载,然后加载基于.NET的模块以安装旨在部署基于.NET的安装程序的第二阶段HTA组件。在下一阶段,此安装程序负责在主机上建立持久性并将最终后门加载到内存中。植入程序本身能够收集感兴趣的文件、系统信息等。在过去两年中,威胁行为者使用了不少于400个域和子域。为了增加一层隐藏,用于C2域的URL被分成两部分,第一部分包含在.NET安装程序中,第二部分在第二阶段HTA模块中加密。卡巴斯基的NoushinShabab说:“这个威胁行为者使用各种感染媒介和高级攻击技术具有相对高水平的复杂性,”他敦促组织使用最新版本的MicrosoftOffice来缓解此类攻击。
