社区编辑申请
注册/登录
SideWinder 黑客在过去 2 年发起了超过 1,000 次网络攻击
安全
SideWinder,也称为 Rattlesnake 或 T-APT-04,据说至少自 2012 年以来就一直活跃,其目标是阿富汗、孟加拉国等中亚国家的军事、国防、航空、IT 公司和法律公司,尼泊尔、巴基斯坦。

自 2020 年 4 月以来,一个名为SideWinder的“攻击性”高级持续威胁 (APT) 组织与 1,000 多次新攻击有关。

网络安全公司卡巴斯基(Kaspersky)表示:“这个威胁行为者的一些主要特征使其在其他攻击者中脱颖而出,包括攻击的数量、频率和持久性,以及在其操作中使用的大量加密和混淆恶意组件。”本月在 Black Hat Asia 上发表的一份报告中说。

SideWinder,也称为 Rattlesnake 或 T-APT-04,据说至少自 2012 年以来就一直活跃,其目标是阿富汗、孟加拉国等中亚国家的军事、国防、航空、IT 公司和法律公司,尼泊尔、巴基斯坦。

卡巴斯基上月底发布的 2022 年第一季度 APT 趋势报告显示,威胁行为者正在积极将其目标的地理范围从其传统的受害者概况扩展到包括新加坡在内的其他国家和地区。

SideWinder 还被观察到利用正在进行的俄罗斯 - 乌克兰战争作为其网络钓鱼活动的诱饵,以分发恶意软件和窃取敏感信息。

图片

对抗性集体的感染链以包含恶意软件操纵的文档而著称,这些文档利用 Microsoft Office 的公式编辑器组件 ( CVE-2017-11882 ) 中的远程代码漏洞在受感染的系统上部署恶意负载。

此外,SideWinder 的工具集采用了几个复杂的混淆例程、为每个恶意文件使用唯一密钥进行加密、多层恶意软件以及将命令和控制 (C2) 基础设施字符串拆分为不同的恶意软件组件。

三阶段感染序列从恶意文档丢弃 HTML 应用程序 (HTA) 有效负载开始,该负载随后加载基于 .NET 的模块以安装第二阶段 HTA 组件,该组件旨在部署基于 .NET 的安装程序。

在下一阶段,此安装程序既负责在主机上建立持久性,又负责将最终后门加载到内存中。就其本身而言,植入物能够收集感兴趣的文件以及系统信息等。

在过去两年中,威胁参与者使用了不少于 400 个域和子域。为了增加额外的隐藏层,用于 C2 域的 URL 被分成两部分,第一部分包含在 .NET 安装程序中,后半部分在第二阶段 HTA 模块中加密。

卡巴斯基的 Noushin Shabab 说:“这个威胁参与者使用各种感染媒介和高级攻击技术具有相对较高的复杂性,”他敦促组织使用最新版本的 Microsoft Office 来缓解此类攻击。

责任编辑:赵宁宁 来源: 祺印说信安

同话题下的热门内容

Github突遭大规模恶意攻击,大量加密密钥可能泄露!什么是UPnP?它有何危险?怎样提高网络数据安全性知名半导体制造商Semikron遭勒索软件攻击经销商技术部-防SQL注入实践正确的 WAF 配置对网络安全是如此重要火了十几年的零信任,为啥还不能落地一起看看21个网络安全优秀实践

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号