概述

  瑞星威胁情报平台近期捕获到SideCopy组织发起的一起攻击事件。该组织仍采用zip+lnk组合的方式，通过钓鱼邮件或其他社工手段向目标用户进行投递。事件中使用的恶意快捷方式Security-Guidelines.lnk.pdf被伪装成pdf文档，诱导用户点击执行，然后通过内嵌命令将远程服务器上的恶意载荷下载到本地执行，最终执行恶意行为。与以往使用自建或公共服务器不同，此次事件中的下载服务器nhp.mowr.gov.in为合法网站，隶属于印度水资源部。攻击者成功入侵该站点并利用其托管恶意载荷，可有效规避安全检测机制，提高攻击成功率。根据事件中发现的诱饵文档内容、恶意载荷下载地址等证据，可以判定这是一起以网络安全指导为主题、针对印度水利部门相关人员的攻击事件。

  SideCopy是一个具有南亚国家背景的APT组织，因其攻击手法模仿南亚地区另一组织SideWinder而得名。据披露，该组织至少从2019年就开始活跃，主要针对印度、阿富汗等南亚国家的政府、国防和军事机构。

概述

  瑞星威胁情报平台于2023年5月捕获到一起疑似针对印度国防部门的攻击事件。攻击者使用快捷方式作为初始攻击武器，并通过双扩展名技术伪装成由印度军事单位发布的合法文件，以此诱骗目标用户。根据对该组织过往攻击行动的研究，推测初始武器可能是使用钓鱼邮件或社交软件等方式进行投递。在攻击行动的不同阶段中，攻击者使用了无文件落地、DLL侧加载等免杀技术，同时攻陷了来自印度的合法网站作为恶意载荷的下载服务器，并对下载数据进行了编码处理，以此躲避本地安全检测机制。在最后阶段则是使用了该组织常用的ReverseRAT等远控工具，对受害者主机进行信息窃取和远程控制。

概述

  瑞星威胁情报平台于2023年2月捕获到一起疑似针对印度政府部门的攻击事件。攻击者将诱饵文档伪装成安全机构提供给印度政府部门的安全研究报告，其报告主题为Android系统的威胁和预防措施，然后通过钓鱼邮件等社工方式进行分发。当受害者启动文档内嵌的宏代码后，将获取存储于远程服务器上的远控木马，释放于本地并执行，最终实现信息窃取和远程控制等功能。其使用的远控木马名为ReverseRAT，据相关研究报告披露，该木马疑似是由来自于巴基斯坦的攻击者所开发使用，且与SideCopy组织具有非常密切的关系。另外，通过将本次攻击行动感染链与SideCopy组织过往感染链的对比分析，将本次捕获到的攻击行动归属于SideCopy组织具有高可信度。