Sidewinder組織將攻擊過程分解成多個階段,有多次網絡下載過程,且連接的C2會檢查訪問IP所屬國家,只允許本次的攻擊目標所屬國家的IP進行訪問,另一方面,為了躲避安全軟件的查殺,關鍵的惡意程序只在內存中執行,最終的遠控程序落地為加密數據的形式,需要加載器解密后才執行。另外響尾蛇組織也會使用開源工具進行攻擊活動,在C2的網絡特征,域名構造方式有很大的關聯性,整體攻擊過程比較簡單,最終用dll側加載的方式在內存中解密執行Cobalt Strike的beacon載荷,實現對用戶機器的控制。此外響尾蛇組織還對Android手機用戶進行攻擊,通過Google Play散發惡意apk安裝包,竊取目標手機中的隱私信息和機密文件。
研究人員最近分析了用于攻擊巴基斯坦政府的惡意軟件樣本,該樣本被懷疑是SideWinder APT組織所為。在這次特定的攻擊活動中,SideWinder利用有針對性的魚叉式網絡釣魚電子郵件來針對政府組織。這些電子郵件包含一個名為“Adv-16-2023”的 PDF 附件,冒充巴基斯坦內閣部門發布的安全建議。打開文件后,系統會提示受害者下載受密碼保護的 RAR 文件。該壓縮文件包含偽裝成 PDF 文件的惡意 LNK 文件。打開LNK文件后,攻擊者使用mshta.exe下載并執行something.hta文件。下載的 HTA 文件利用 VBScript 下載攻擊中使用的其他組件。其中一個組件是 version.dll,它位于本地 OneDrive 目錄中。攻擊者利用DLL側載劫持本地OneDrive程序及其更新程序,從而部署滲透測試中常用的遠程控制程序Cobalt Strike來控制受感染的機器。
近期,研究人員監測到Sidewinder組織對巴基斯坦政府單位的最新攻擊動態。在本次攻擊活動中,監測到響尾蛇組織使用釣魚郵件攻擊政府單位的事件,本次事件相關的郵件附件名稱為“ Adv-16-2023”,是關于巴基斯坦內閣部門發布的網絡安全咨詢16號文件。釣魚文件內容以文檔被微軟Azure云安全保護為由,引誘用戶下載帶有密碼的壓縮包文件,壓縮包中包含一個惡意lnk文件,用于下載第二階段HTA下載腳本,最后劫持本地Onedrive客戶端程序及其更新程序實現DLL側加載,最終上線Cobalt Strike載荷,用戶機器中Onedrive定時更新的計劃任務也會成為響尾蛇組織的持久化計劃任務,整個攻擊過程與之前披露的攻擊大相徑庭,攻擊過程更為簡單,樣本制作成本更低。
SideWinder是最活躍、最多產的APT組織之一。研究人員發現了以前未記錄的攻擊基礎設施,該基礎設施被SideWinder用來攻擊位于巴基斯坦和中國的實體。研究人員檢測到55個以前未知的 IP 地址,SideWinder 可以在未來的攻擊中使用這些地址。已識別的網絡釣魚域模仿新聞、政府、電信和金融部門的各種組織。
從2022 年 11 月下旬開始,SideWinder組織使用服務器端多態性技術攻擊巴基斯坦政府官員。這種技術可允許攻擊者繞過傳統的基于簽名的防病毒(AV)檢測來提供其下一階段的有效載荷。其中,由于多態惡意軟件是通過加密和混淆改變其外觀的惡意代碼,因此基于簽名的傳統AV軟件很難捕獲此類惡意軟件。此外,從2023 年 3 月上旬開始,SideWinder組織將土耳其確定為新目標。
2021年6月至2021年11月期間,SideWinder攻擊者試圖以阿富汗、不丹、緬甸、尼泊爾和斯里蘭卡的 61 個政府、軍隊、執法部門和其他組織為目標發起釣魚攻擊。攻擊始于魚叉式釣魚郵件,會導致下載惡意文檔、LNK文件或惡意payload?;顒又杏袃蓚€新工具:SideWinder.RAT.b(一種遠程訪問木馬)和SideWinder.StealerPy(一種用 Python 編寫的自定義信息竊取程序)。
研究人員捕獲到一起SideWinder組織的攻擊活動,攻擊者通過釣魚郵件向我國某高校發起網絡攻擊,通過在郵件中附帶惡意附件執行惡意代碼,并且攻擊者在打包壓縮包過程中遺留了打包文件,通過打包文件可以關聯出一批同屬于該組織的其他攻擊樣本。除了針對我國的攻擊外,攻擊者還利用模板注入的方式投遞惡意文檔,向巴基斯坦政府、軍隊等單位發起攻擊,根據該組織以往的攻擊活動判斷,后續會下載攻擊者的下載器木馬執行后續攻擊。
Sidewinder組織在最近的活動中,使用與巴基斯坦相關的學?;蛘哕婈牉檎T餌進行魚叉攻擊,其攻擊技戰法(TTP)均使用了DotNetToJScript工具生成JS代碼來加載.net程序。近期的攻擊活動有以下攻擊手段特點:(1)擅用社會工程學,使用更貼切的誘餌,誘餌甚至來自真實文件;(2)多階段下載,并對后續載荷進行混淆處理;(3)使用輕量級遠程Shell后門,甚至被曝光后仍繼續使用相關C2。
SideWinder APT組織在針對巴基斯坦的活動中使用了一種名為“WarHawk”的新后門。WarHawk后門由四個模塊組成:下載和執行模塊;命令執行模塊;文件管理器 InfoExfil 模塊;UploadFromC2模塊。WarHawk后門包含各種提供Cobalt Strike的惡意模塊,并結合了新的TTP,例如KernelCallBackTable注入和巴基斯坦標準時區檢查。研究人員發現了托管在巴基斯坦國家電力監管局合法網站上的 ISO 文件,這可能表明他們的網絡服務器受到了威脅。
響尾蛇(SideWinder)是疑似具有南亞背景的APT組織,其攻擊活動最早可追溯到2012年。研究人員捕獲到一批疑似SideWinder組織Android端攻擊樣本。此次捕獲的樣本主要針對南亞地區開展攻擊活動,國內用戶不受其影響。攻擊活動有如下特點:1. 樣本托管在Google Play商店,偽裝成Secure VPN(VPN加密通信軟件)、Supereme Allah、Z Cleaner(手機清理軟件)、Secure browser(瀏覽器軟件),安裝人數超過1K+。2. C2地址隱蔽性增強,包括硬編碼在樣本中、加密保存在google play安裝鏈接參數中、通過firebase后臺下發C2。