近日,瑞星威胁情报中心发现了一起由Transparent Tribe发起针对印度国防部门相关人员的攻击活动。捕获的样本名为Defence and security Agenda Point.ppt,实际打开并启用宏后可见内容为一个会议的有关介绍及日程安排,会议讨论的内容是COVID-19疫情过去之后,印度如何改造自己的军事防御体系,并且会议将聚焦于印度的地缘战略抱负和挑战。根据其主要内容我们可以得知此次攻击事件的攻击目标为印度。
SideWinder是一个至少从2012年就开始进行网络攻击的威胁组织,疑似来自印度。这个APT组织又被称为响尾蛇、T-APT-04、Rattlesnake和APT-C-17,是现今最活跃的组织之一。该组织主要是从事信息窃取和间谍活动,该组织的大多数的活动都集中在中国,巴基斯坦,阿富汗等国家,涉及的目标行业多为医疗,国防,政府和科技公司等。我们在针对最近一次攻击事件的分析中获得了SideWinder组织控制的其中一台服务器的SSH登录凭据。
瑞星威胁情报平台捕获到一起针对尼泊尔的攻击事件。攻击者通过邮件发送给尼泊尔政府机构钓鱼文档。当用户双击文档执行宏代码后,会在%LocalAppData%目录下释放一些脚本文件,在启动目录下释放一个vbs脚本文件(脚本会执行指定的脚本文件),在%LocalAppData%\Microsoft目录下释放一个压缩文件(里面是一个Nim编写的后门程序)。据国内外安全厂商披露,该程序是BabyElephant组织开发的C++后门的变种,因为SideWinder和BabyElephant的攻击具有高度的相似性,通过将本次攻击行动与SideWinder组织过往攻击事件对比分析,将本次捕获到的攻击行动归属于SideWinder组织。
瑞星威胁情报平台于2023年5月捕获到一起疑似针对印度国防部门的攻击事件。攻击者使用快捷方式作为初始攻击武器,并通过双扩展名技术伪装成由印度军事单位发布的合法文件,以此诱骗目标用户。根据对该组织过往攻击行动的研究,推测初始武器可能是使用钓鱼邮件或社交软件等方式进行投递。在攻击行动的不同阶段中,攻击者使用了无文件落地、DLL侧加载等免杀技术,同时攻陷了来自印度的合法网站作为恶意载荷的下载服务器,并对下载数据进行了编码处理,以此躲避本地安全检测机制。在最后阶段则是使用了该组织常用的ReverseRAT等远控工具,对受害者主机进行信息窃取和远程控制。