近日,研究人员抓获了多份以印度国防部长坠机事件相关事件为诱饵的攻击文档。当地时间12月8日,印度国防参谋长在南部泰米尔纳德邦的军用直升机坠毁事故中丧生。这件事也在网上迅速传播开来。攻击者利用诱饵文档等相关事件,利用文档中的远程模板注入功能,远程加载包含恶意DDE域代码的文档文件,执行恶意代码下载跟进。详情:2020年9月,速愈披露了一项针对印度国防军陆军人员和武装部队人员的隐身行动,并将其命名为OperationSideCopy。该行动始于2019年初,攻击者主要复制SidewinderAPT组织的TTP进行攻击,故命名为OperationSideCopy。此次捕获的样本针对性强,使用DDE恶意域代码进行攻击,与此前南亚APT组织腾云蛇使用的攻击方式相似,表明该组织在不断模仿多个APT组织的攻击方式在南亚。此外,通过进一步分析,在此次捕获的样本中,有大量诱饵信息与印度的军事和经济有关。怀疑SideCopyAPT组织利用这些信息对印度发起了APT攻击。此次捕获的样本就是以印度国防参谋长坠机事件为诱饵信息进行攻击。诱饵文档不包含此类信息,但受害者打开文档,触发CVE-2017-0199漏洞,向攻击者服务器请求携带诱饵信息和恶意DDE域代码的docx文件,进行远程模板注入攻击。整体攻击流程大致如下:SideCopy是近几年才活跃在公众视野中的APT组织。与其他区域性组织相比,SideCopy的攻击手段和武器代码都比较年轻,而且大多使用互联网上的开源代码和工具。不过,种种迹象表明,SideCopy可能仍与南亚其他APT组织有着千丝万缕的联系。
