概述

  瑞星威胁情报平台近期捕获到SideCopy组织发起的一起攻击事件。该组织仍采用zip+lnk组合的方式，通过钓鱼邮件或其他社工手段向目标用户进行投递。事件中使用的恶意快捷方式Security-Guidelines.lnk.pdf被伪装成pdf文档，诱导用户点击执行，然后通过内嵌命令将远程服务器上的恶意载荷下载到本地执行，最终执行恶意行为。与以往使用自建或公共服务器不同，此次事件中的下载服务器nhp.mowr.gov.in为合法网站，隶属于印度水资源部。攻击者成功入侵该站点并利用其托管恶意载荷，可有效规避安全检测机制，提高攻击成功率。根据事件中发现的诱饵文档内容、恶意载荷下载地址等证据，可以判定这是一起以网络安全指导为主题、针对印度水利部门相关人员的攻击事件。

  SideCopy是一个具有南亚国家背景的APT组织，因其攻击手法模仿南亚地区另一组织SideWinder而得名。据披露，该组织至少从2019年就开始活跃，主要针对印度、阿富汗等南亚国家的政府、国防和军事机构。