据BlackBerry威胁情报团队报道,一个与印度相关联的SideWinder APT组织最近一直针对印度洋和地中海的港口和海上设施发动攻击。
该组织别名包括 SideWinder、Rattlesnake 和 Razor Tiger,自 2012 年以来一直活跃,主要针对巴基斯坦、阿富汗、中国和尼泊尔的政府、军队和企业进行网络间谍活动。
在过去的一年中,该组织不断更新其基础设施,并在新的袭击中采用新的战术和技术,重点针对巴基斯坦、埃及和斯里兰卡实体,同时还瞄准孟加拉国、缅甸、尼泊尔和马尔代夫等其他目标。
此次攻击延续了 SideWinder 对间谍和情报收集的关注,使用通过鱼叉式网络钓鱼电子邮件发送的恶意文档,并依靠 DLL 侧载来植入恶意软件。
这些攻击中使用的恶意文件经过精心定制,看上去好像来自目标已知的组织,例如地中海的亚历山大港和红海港务局。
诱饵文档1
滥用埃及(合法)红海港务局标志的诱饵文档2
针对斯里兰卡使用僧伽罗语书写的诱饵文档3
“在我们的研究中,我们发现攻击者共使用了三种视觉诱饵。视觉诱饵本身可能不是恶意的;它们的主要目的是分散受害者的注意力,使他们无法意识到自己受到了攻击。”BlackBerry 指出。
SideWinder 使用旨在唤起强烈情绪(如恐惧和焦虑)的标题来引诱目标立即打开文档,从而分散他们对后台发生的恶意活动的注意力。
这些恶意文档针对的是Microsoft Office 中被广泛利用的远程代码执行漏洞 (CVE-2017-0199),其中包含指向攻击者控制的网站的纯文本 URL。一旦受害者打开文档,就会访问该 URL 以获取下一阶段。
下一步,富文本格式 (RTF) 文件会获取一份文档,该文档利用 Office 中的另一个已知漏洞 (CVE-2017-11882) 在系统上执行 shellcode。
Shellcode 执行一系列检查以确定它是否在虚拟环境中运行,然后解密并运行用于从远程服务器加载下一阶段的 JavaScript 代码。
BlackBerry 的分析显示,攻击者一直使用旧的 Tor 节点作为第二阶段命令和控制 (C&C) 服务器,同时继续依赖已知的 Sidewinder 域命名结构。
BlackBerry 指出:“我们尚未观察到攻击最后阶段所传递的任何 JavaScript 样本。然而,根据 SideWinder 先前的活动,我们认为此次活动的目标是间谍活动和情报收集。”
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/bI6nvkaQMjvVir4ZHwvvWg
暂无评论内容