瑞星威胁情报中心在4月时捕获到了具有南亚背景的APT组织SideWinder针对巴基斯坦的一次网络攻击,当时正值印巴间因恐袭事件关系紧张之时,此次捕获的载荷之一也曾借恐袭事件之名进行过投递。两国之间可谓积怨已久,军事对抗也时有发生,而网络层面的对抗更是时刻都在进行,此次便是其中一次,在本次攻击中SideWinder诱导用户下载带密码的压缩包,在压缩包中包含一个恶意chm文件与恶意载荷,诱导点击chm文件从而执行恶意载荷,此类直接通过chm文件执行恶意载荷的攻击手法在其历史攻击中也是比较少见的,类似手法只在同属于南亚APT的Mysterious Elephant中有过,其运行的载荷也均为接受服务器指令并执行,只是开发语言略有区别,南亚APT组织之间的技术手法、战术战略和武器库选择经常可以发现相似之处,有时连基础设施都会发现存在共用,本次攻击可能是SideWinder对该组织的一次借鉴。
瑞星威胁情报平台捕获到近期针对国内的攻击事件。攻击者通过邮件发送给目标机构钓鱼文档。当用户双击文档执行宏代码后,会在释放出一个窃密的木马,该木马会获取指定的目录下后缀名为pdf、doc、docx、xlsx、xls、ppt、pptx、zip的文件,把获取到的文件加密之后发送到服务器。通过对比其域名特点和窃密手法,发现和SideWinder组织具有高度相似性,因此将本次捕获到的攻击行动归属于SideWinder组织。
SideWinder是一个至少从2012年就开始进行网络攻击的威胁组织,疑似来自印度。这个APT组织又被称为响尾蛇、T-APT-04、Rattlesnake和APT-C-17,是现今最活跃的组织之一。该组织主要是从事信息窃取和间谍活动,该组织的大多数的活动都集中在中国,巴基斯坦,阿富汗等国家,涉及的目标行业多为医疗,国防,政府和科技公司等。我们在针对最近一次攻击事件的分析中获得了SideWinder组织控制的其中一台服务器的SSH登录凭据。
瑞星威胁情报平台捕获到一起针对尼泊尔的攻击事件。攻击者通过邮件发送给尼泊尔政府机构钓鱼文档。当用户双击文档执行宏代码后,会在%LocalAppData%目录下释放一些脚本文件,在启动目录下释放一个vbs脚本文件(脚本会执行指定的脚本文件),在%LocalAppData%\Microsoft目录下释放一个压缩文件(里面是一个Nim编写的后门程序)。据国内外安全厂商披露,该程序是BabyElephant组织开发的C++后门的变种,因为SideWinder和BabyElephant的攻击具有高度的相似性,通过将本次攻击行动与SideWinder组织过往攻击事件对比分析,将本次捕获到的攻击行动归属于SideWinder组织。