自 2020 年 4 月以來(lái)，一個(gè)名為SideWinder的“攻擊性”高級(jí)持續(xù)威脅 (APT) 組織與 1,000 多次新攻擊有關(guān)。

網(wǎng)絡(luò)安全公司卡巴斯基（Kaspersky）表示：“這個(gè)威脅行為者的一些主要特征使其在其他攻擊者中脫穎而出，包括攻擊的數(shù)量、頻率和持久性，以及在其操作中使用的大量加密和混淆惡意組件?！北驹略?Black Hat Asia 上發(fā)表的一份報(bào)告中說(shuō)。

SideWinder，也稱為 Rattlesnake 或 T-APT-04，據(jù)說(shuō)至少自 2012 年以來(lái)就一直活躍，其目標(biāo)是阿富汗、孟加拉國(guó)等中亞國(guó)家的軍事、國(guó)防、航空、IT 公司和法律公司，尼泊爾、巴基斯坦。

卡巴斯基上月底發(fā)布的 2022 年第一季度 APT 趨勢(shì)報(bào)告顯示，威脅行為者正在積極將其目標(biāo)的地理范圍從其傳統(tǒng)的受害者概況擴(kuò)展到包括新加坡在內(nèi)的其他國(guó)家和地區(qū)。

SideWinder 還被觀察到利用正在進(jìn)行的俄羅斯 - 烏克蘭戰(zhàn)爭(zhēng)作為其網(wǎng)絡(luò)釣魚活動(dòng)的誘餌，以分發(fā)惡意軟件和竊取敏感信息。

對(duì)抗性集體的感染鏈以包含惡意軟件操縱的文檔而著稱，這些文檔利用 Microsoft Office 的公式編輯器組件 ( CVE-2017-11882 ) 中的遠(yuǎn)程代碼漏洞在受感染的系統(tǒng)上部署惡意負(fù)載。

此外，SideWinder 的工具集采用了幾個(gè)復(fù)雜的混淆例程、為每個(gè)惡意文件使用唯一密鑰進(jìn)行加密、多層惡意軟件以及將命令和控制 (C2) 基礎(chǔ)設(shè)施字符串拆分為不同的惡意軟件組件。

三階段感染序列從惡意文檔丟棄 HTML 應(yīng)用程序 (HTA) 有效負(fù)載開始，該負(fù)載隨后加載基于 .NET 的模塊以安裝第二階段 HTA 組件，該組件旨在部署基于 .NET 的安裝程序。

在下一階段，此安裝程序既負(fù)責(zé)在主機(jī)上建立持久性，又負(fù)責(zé)將最終后門加載到內(nèi)存中。就其本身而言，植入物能夠收集感興趣的文件以及系統(tǒng)信息等。

在過(guò)去兩年中，威脅參與者使用了不少于 400 個(gè)域和子域。為了增加額外的隱藏層，用于 C2 域的 URL 被分成兩部分，第一部分包含在 .NET 安裝程序中，后半部分在第二階段 HTA 模塊中加密。

卡巴斯基的 Noushin Shabab 說(shuō)：“這個(gè)威脅參與者使用各種感染媒介和高級(jí)攻擊技術(shù)具有相對(duì)較高的復(fù)雜性，”他敦促組織使用最新版本的 Microsoft Office 來(lái)緩解此類攻擊。