2024年5月,瑞星威胁情报平台捕获到一起攻击事件,该事件中使用的诱饵文档与印度什里·拉姆夫人女子学院的宏观经济学课程有关,猜测攻击目标可能是与此相关的学生或者研究人员等。在攻击过程中,攻击者可能通过钓鱼邮件向目标投递恶意宏文档eco.xlam,利用宏代码释放同名诱饵文档eco.xlsx迷惑用户以及释放Crimson远控木马对目标进行窃密远程控制等恶意操作。
近日,瑞星威胁情报中心发现了一起由Transparent Tribe发起针对印度国防部门相关人员的攻击活动。捕获的样本名为CSD hire purchase list aug 2021.xlsx,中文名为2021年8月CSD租购清单,其中CSD为国防食堂商店部门的缩写,属于印度国防部的下属企业,负责为印度武装部队提供民生用品。此次攻击活动推测是由钓鱼邮件开启,诱骗特定用户打开包含恶意宏的诱饵文档,执行宏代码后下载并执行自定义的.NET远控木马,通过与C2服务器通信从而实现信息窃取和远程控制。
近日,瑞星威胁情报中心发现了一起由Transparent Tribe发起针对印度国防部门相关人员的攻击活动。捕获的样本名为Defence and security Agenda Point.ppt,实际打开并启用宏后可见内容为一个会议的有关介绍及日程安排,会议讨论的内容是COVID-19疫情过去之后,印度如何改造自己的军事防御体系,并且会议将聚焦于印度的地缘战略抱负和挑战。根据其主要内容我们可以得知此次攻击事件的攻击目标为印度。
SideWinder是一个至少从2012年就开始进行网络攻击的威胁组织,疑似来自印度。这个APT组织又被称为响尾蛇、T-APT-04、Rattlesnake和APT-C-17,是现今最活跃的组织之一。该组织主要是从事信息窃取和间谍活动,该组织的大多数的活动都集中在中国,巴基斯坦,阿富汗等国家,涉及的目标行业多为医疗,国防,政府和科技公司等。我们在针对最近一次攻击事件的分析中获得了SideWinder组织控制的其中一台服务器的SSH登录凭据。