响尾蛇 APT 组织持续攻击我国和巴基斯坦实体组织
发布时间 2023-05-20The Hacker News 网站披露,网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于我国和巴基斯坦境内的实体组织。
APT 组织 SideWinder 至少从 2012 年起就开始活跃,其攻击链主要利用鱼叉式网络钓鱼作为入侵机制,在受害目标的网络环境中“站稳脚跟”,从其以往的攻击目标来看, 受攻击最频繁的国家包括巴基斯坦、中国、斯里兰卡、阿富汗、孟加拉国、缅甸、菲律宾、卡塔尔和新加坡等。
响尾蛇频频攻击中国和巴基斯坦
网络安全公司 Group IB 和 Bridewell 在与 TheHackerNews 分享的一份联合报告中指出,SideWinder 团伙在攻击过程中利用由 55 个域名和 IP 地址组成的虚假网络。研究人员 Nikita Rostovtsev、Joshua Penny和Yashraj Solaki 进一步表示已确定的钓鱼网域模仿了新闻、政府、电信和金融部门等各种组织。
2023 年 2 月初,Group-IB 揭示了 SideWinder 在 2021 年 6 月至 11 月期间可能针对亚洲各地的 61 个政府、军队、执法部门和其它组织的证据。近期,研究人员观察到 SideWinder 在针对巴基斯坦政府组织的规避攻击中,使用了一种名为基于服务器的多态性技术。新发现的域名模仿了巴基斯坦、中国和印度的政府组织,其特点是在 WHOIS 记录中使用相同的值和类似的注册信息。
在这些域名中,有些是以政府为主题的诱饵文件,这些文件中大部分于 2023 年 3 月从巴基斯坦上传到VirusTotal。其中一个是据称来自巴基斯坦海军战争学院(PNWC)的 Word 文件,最近几个月被 QiAnXin 和 BlackBerry 分析过。
值得一提的是,研究人员还发现了一个 Windows 快捷方式(LNK)文件,该文件于 2022 年 11 月下旬从北京上传到 VirusTotal。就 LNK 文件而言,它被设计成运行一个从远程服务器上检索到的 HTML 应用程序(HTA)文件,该服务器欺骗了清华大学的电子邮件系统(mailtsinghua.sinacn[.]co)。另一个大约在同一时间从加德满都上传到 VirusTotal 的 LNK 文件,从伪装成尼泊尔政府网站的域(mailv.mofs gov[.]org)中获取了 HTA 文件。
研究人员在对 SideWinder 进一步调查后,发现了一个恶意的 Android APK 文件(226617),该文件于2023 年 3 月从斯里兰卡上传到 VirusTotal。这个流氓安卓应用程序冒充“Ludo Game”,并提示用户授予其访问联系人、位置、电话日志、短信和日历的权限,有效地发挥了间谍软件的功能,获取用户的敏感信息。Group-IB 表示,流氓安卓应用程序还与其在 2022 年 6 月披露的假冒安全 VPN 应用程序有相似之处,后者是通过一个名为 AntiBot 的流量指示系统(TDS)向巴基斯坦的受害目标分发。
总的来说,这些域名表明 SideWinder 已经将目光投向了巴基斯坦和中国的金融、政府和执法机构,以及专门从事电子商务和大众传媒的公司。最后,研究人员强调像许多其它 APT 组织一样,SideWinder 依靠有针对性的鱼叉式网络钓鱼作为初始载体。因此对于实体组织来说,部署能够引爆恶意内容的商业电子邮件保护解决方案至关重要。