卡巴斯基的研究人員警告稱，APT組織SideWinder（又名Razor Tiger、Rattlesnake和T-APT-04）正針對南亞、東南亞、中東和非洲的海事、物流、核能、電信和IT行業(yè)發(fā)起攻擊。該組織自至少2012年以來一直活躍，主要目標(biāo)是中亞國家的警察、軍隊(duì)、海事和海軍部隊(duì)。在2022年的攻擊中，該組織還瞄準(zhǔn)了外交部、科研和國防機(jī)構(gòu)、航空業(yè)、IT行業(yè)以及律師事務(wù)所等部門。

攻擊范圍與基礎(chǔ)設(shè)施

SideWinder的C2基礎(chǔ)設(shè)施龐大，由超過400個域名和子域名組成，用于托管惡意載荷并對其進(jìn)行控制?？ò退够^察到，該組織在2024年擴(kuò)大了攻擊范圍，尤其在埃及、亞洲和非洲的活動有所增加。部分攻擊明顯針對南亞的核電站和核能設(shè)施，并逐漸向新的非洲國家擴(kuò)展其活動。

快速適應(yīng)與惡意軟件演變

SideWinder能夠迅速適應(yīng)安全檢測，在數(shù)小時內(nèi)修改惡意軟件，調(diào)整戰(zhàn)術(shù)、技術(shù)和程序。研究報(bào)告中提到：“一旦他們的工具被識別，他們會在5小時內(nèi)生成一個新的修改版惡意軟件。如果行為檢測發(fā)生，SideWinder會嘗試改變技術(shù)以維持持久性和加載組件。此外，他們還會更改惡意文件的名稱和路徑。因此，對該組織活動的監(jiān)控和檢測就像一場乒乓球比賽。”

2024年的感染模式與之前的描述一致。攻擊者通過發(fā)送帶有DOCX附件的魚叉式釣魚郵件發(fā)起攻擊。文檔加載存儲在攻擊者控制的遠(yuǎn)程服務(wù)器上的RTF模板文件，利用微軟Office內(nèi)存損壞漏洞（CVE-2017-11882）運(yùn)行惡意shellcode，并啟動多層次感染過程。攻擊鏈的最終階段是一個名為“Backdoor Loader”的惡意軟件，加載一個名為“StealerBot”的定制后開發(fā)工具包。

報(bào)告中還提到：“在調(diào)查中，我們發(fā)現(xiàn)了新的C++版本的‘Backdoor Loader’組件。其邏輯與.NET版本相同，但C++版本缺少反分析技術(shù)。此外，大多數(shù)樣本都是為特定目標(biāo)定制的，因?yàn)樗鼈儽慌渲脼閺那度氪a的特定文件路徑加載第二階段，其中還包括用戶的名稱。這表明這些變體可能是在感染階段后使用的，并由攻擊者在已攻破的基礎(chǔ)設(shè)施中手動部署，以驗(yàn)證受害者。”

攻擊手法與防護(hù)建議

大多數(shù)被檢測到的誘餌文檔涉及政府和外交事務(wù)，但也有部分涉及租車、房地產(chǎn)和自由職業(yè)等通用主題。報(bào)告總結(jié)道：“SideWinder是一個非常活躍且持續(xù)演進(jìn)的威脅組織，不斷改進(jìn)其工具集。其基本感染方法是利用舊的微軟Office漏洞CVE-2017-11882，這再次強(qiáng)調(diào)了安裝安全補(bǔ)丁的重要性。盡管使用了舊的漏洞利用手段，我們不應(yīng)低估這一威脅組織。事實(shí)上，SideWinder已經(jīng)展示了其針對關(guān)鍵資產(chǎn)和重要實(shí)體（包括軍事和政府機(jī)構(gòu)）的入侵能力?！?/p>