響尾蛇 APT 組織持續(xù)攻擊我國和巴基斯坦實(shí)體組織

發(fā)布時間 2023-05-20

The Hacker News 網(wǎng)站披露,網(wǎng)絡(luò)安全研究人員近期發(fā)現(xiàn) APT 組織 SideWinder 正在“集中火力”猛攻位于我國和巴基斯坦境內(nèi)的實(shí)體組織。


APT 組織 SideWinder 至少從 2012 年起就開始活躍,其攻擊鏈主要利用魚叉式網(wǎng)絡(luò)釣魚作為入侵機(jī)制,在受害目標(biāo)的網(wǎng)絡(luò)環(huán)境中“站穩(wěn)腳跟”,從其以往的攻擊目標(biāo)來看, 受攻擊最頻繁的國家包括巴基斯坦、中國、斯里蘭卡、阿富汗、孟加拉國、緬甸、菲律賓、卡塔爾和新加坡等。


響尾蛇頻頻攻擊中國和巴基斯坦


網(wǎng)絡(luò)安全公司 Group IB 和 Bridewell 在與 TheHackerNews 分享的一份聯(lián)合報告中指出,SideWinder 團(tuán)伙在攻擊過程中利用由 55 個域名和 IP 地址組成的虛假網(wǎng)絡(luò)。研究人員 Nikita Rostovtsev、Joshua Penny和Yashraj Solaki 進(jìn)一步表示已確定的釣魚網(wǎng)域模仿了新聞、政府、電信和金融部門等各種組織。


2023 年 2 月初,Group-IB 揭示了 SideWinder 在 2021 年 6 月至 11 月期間可能針對亞洲各地的 61 個政府、軍隊、執(zhí)法部門和其它組織的證據(jù)。近期,研究人員觀察到 SideWinder 在針對巴基斯坦政府組織的規(guī)避攻擊中,使用了一種名為基于服務(wù)器的多態(tài)性技術(shù)。新發(fā)現(xiàn)的域名模仿了巴基斯坦、中國和印度的政府組織,其特點(diǎn)是在 WHOIS 記錄中使用相同的值和類似的注冊信息。


在這些域名中,有些是以政府為主題的誘餌文件,這些文件中大部分于 2023 年 3 月從巴基斯坦上傳到VirusTotal。其中一個是據(jù)稱來自巴基斯坦海軍戰(zhàn)爭學(xué)院(PNWC)的 Word 文件,最近幾個月被 QiAnXin 和 BlackBerry 分析過。


值得一提的是,研究人員還發(fā)現(xiàn)了一個 Windows 快捷方式(LNK)文件,該文件于 2022 年 11 月下旬從北京上傳到 VirusTotal。就 LNK 文件而言,它被設(shè)計成運(yùn)行一個從遠(yuǎn)程服務(wù)器上檢索到的 HTML 應(yīng)用程序(HTA)文件,該服務(wù)器欺騙了清華大學(xué)的電子郵件系統(tǒng)(mailtsinghua.sinacn[.]co)。另一個大約在同一時間從加德滿都上傳到 VirusTotal 的 LNK 文件,從偽裝成尼泊爾政府網(wǎng)站的域(mailv.mofs gov[.]org)中獲取了 HTA 文件。


研究人員在對 SideWinder 進(jìn)一步調(diào)查后,發(fā)現(xiàn)了一個惡意的 Android APK 文件(226617),該文件于2023 年 3 月從斯里蘭卡上傳到 VirusTotal。這個流氓安卓應(yīng)用程序冒充“Ludo Game”,并提示用戶授予其訪問聯(lián)系人、位置、電話日志、短信和日歷的權(quán)限,有效地發(fā)揮了間諜軟件的功能,獲取用戶的敏感信息。Group-IB 表示,流氓安卓應(yīng)用程序還與其在 2022 年 6 月披露的假冒安全 VPN 應(yīng)用程序有相似之處,后者是通過一個名為 AntiBot 的流量指示系統(tǒng)(TDS)向巴基斯坦的受害目標(biāo)分發(fā)。


總的來說,這些域名表明 SideWinder 已經(jīng)將目光投向了巴基斯坦和中國的金融、政府和執(zhí)法機(jī)構(gòu),以及專門從事電子商務(wù)和大眾傳媒的公司。最后,研究人員強(qiáng)調(diào)像許多其它 APT 組織一樣,SideWinder 依靠有針對性的魚叉式網(wǎng)絡(luò)釣魚作為初始載體。因此對于實(shí)體組織來說,部署能夠引爆惡意內(nèi)容的商業(yè)電子郵件保護(hù)解決方案至關(guān)重要。