近日，研究人員捕獲到多個(gè)以印度國(guó)防參謀長(zhǎng)墜機(jī)相關(guān)事件為誘餌的攻擊文檔。當(dāng)?shù)貢r(shí)間12月8日，印度國(guó)防參謀長(zhǎng)乘坐一架軍用直升機(jī)在南部泰米爾納德邦墜機(jī)身亡。此事件也迅速在網(wǎng)絡(luò)上發(fā)酵傳播，攻擊者利用此類相關(guān)事件作為誘餌文檔并在文檔里利用遠(yuǎn)程模板注入功能，將含有惡意DDE域代碼的文檔文件進(jìn)行遠(yuǎn)程加載并執(zhí)行惡意代碼下載后續(xù)。

[[442213]]

詳情：

2020年9月，Quick Heal披露了一起針對(duì)印度國(guó)防軍和武裝部隊(duì)人員陸軍人員的竊密行動(dòng)并將其命名為Operation SideCopy。行動(dòng)始于2019年初，其攻擊者主要以復(fù)制Sidewinder APT組織的TTPs進(jìn)行攻擊，故被命名為Operation SideCopy。而此次捕獲的樣本針對(duì)性強(qiáng)，使用DDE 惡意域代碼進(jìn)行攻擊，與此前南亞地區(qū)APT 組織騰云蛇所使用的攻擊方式類似，說明該組織在不斷模仿南亞地區(qū)的多個(gè)APT團(tuán)伙的攻擊手法。此外，通過進(jìn)一步分析，此次所捕獲的樣本中，大量誘餌信息與印度軍事、經(jīng)濟(jì)相關(guān)，疑似SideCopy APT 組織利用這些信息針對(duì)印度展開的一次APT 攻擊活動(dòng)。

本次捕獲的樣本是利用印度國(guó)防參謀長(zhǎng)墜機(jī)事件為誘餌信息進(jìn)行攻擊。

誘餌文檔不包含此類信息，而是通過受害者打開文檔，觸發(fā)CVE-2017-0199 漏洞從攻擊者服務(wù)器請(qǐng)求攜帶有誘餌信息以及惡意DDE 域代碼的docx 文件進(jìn)行遠(yuǎn)程模板注入攻擊。

整體攻擊流程大致如下：

SideCopy作為近年來才活躍在大眾視野范圍內(nèi)的APT組織，其攻擊手法及武器代碼方面與同地域組織相比都較為青澀，且大多使用網(wǎng)絡(luò)上開源的代碼及工具。但種種跡象表明，SideCopy可能和南亞其他APT 組織之間還存在千絲萬(wàn)縷的聯(lián)系。