TheHackerNews網(wǎng)站披露,網(wǎng)絡(luò)安全研究人員近期發(fā)現(xiàn)APT組織SideWinder正在“集中火力”猛攻位于我國(guó)和巴基斯坦境內(nèi)的實(shí)體組織。
APT組織SideWinder至少?gòu)?012年起就開(kāi)始活躍,其攻擊鏈主要利用魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)作為入侵機(jī)制,在受害目標(biāo)的網(wǎng)絡(luò)環(huán)境中“站穩(wěn)腳跟”,從其以往的攻擊目標(biāo)來(lái)看,受攻擊最頻繁的國(guó)家包括巴基斯坦、中國(guó)、斯里蘭卡、阿富汗、孟加拉國(guó)、緬甸、菲律賓、卡塔爾和新加坡等。
SideWinder頻頻攻擊中國(guó)和巴基斯坦的實(shí)體組織
網(wǎng)絡(luò)安全公司GroupIB和Bridewell在與TheHackerNews分享的一份聯(lián)合報(bào)告中指出,SideWinder團(tuán)伙在攻擊過(guò)程中利用由55個(gè)域名和IP地址組成的虛假網(wǎng)絡(luò)。研究人員NikitaRostovtsev、JoshuaPenny和YashrajSolaki進(jìn)一步表示已確定的釣魚(yú)網(wǎng)域模仿了新聞、政府、電信和金融部門(mén)等各種組織。
2023年2月初,Group-IB揭示了SideWinder在2021年6月至11月期間可能針對(duì)亞洲各地的61個(gè)政府、軍隊(duì)、執(zhí)法部門(mén)和其它組織的證據(jù)。
近期,研究人員觀察到SideWinder在針對(duì)巴基斯坦政府組織的規(guī)避攻擊中,使用了一種名為基于服務(wù)器的多態(tài)性技術(shù)。新發(fā)現(xiàn)的域名模仿了巴基斯坦、中國(guó)和印度的政府組織,其特點(diǎn)是在WHOIS記錄中使用相同的值和類(lèi)似的注冊(cè)信息。
在這些域名中,有些是以政府為主題的誘餌文件,這些文件中大部分于2023年3月從巴基斯坦上傳到VirusTotal。其中一個(gè)是據(jù)稱(chēng)來(lái)自巴基斯坦海軍戰(zhàn)爭(zhēng)學(xué)院(PNWC)的Word文件,最近幾個(gè)月被QiAnXin和BlackBerry分析過(guò)。
值得一提的是,研究人員還發(fā)現(xiàn)了一個(gè)Windows快捷方式(LNK)文件,該文件于2022年11月下旬從北京上傳到VirusTotal。就LNK文件而言,它被設(shè)計(jì)成運(yùn)行一個(gè)從遠(yuǎn)程服務(wù)器上檢索到的HTML應(yīng)用程序(HTA)文件,該服務(wù)器欺騙了清華大學(xué)的電子郵件系統(tǒng)(mailtsinghua.sinacn[.]co)。另一個(gè)大約在同一時(shí)間從加德滿都上傳到VirusTotal的LNK文件,從偽裝成尼泊爾政府網(wǎng)站的域(mailv.mofsgov[.]org)中獲取了HTA文件。
研究人員在對(duì)SideWinder進(jìn)一步調(diào)查后,發(fā)現(xiàn)了一個(gè)惡意的AndroidAPK文件(226617),該文件于2023年3月從斯里蘭卡上傳到VirusTotal。
這個(gè)流氓安卓應(yīng)用程序冒充“LudoGame”,并提示用戶(hù)授予其訪問(wèn)聯(lián)系人、位置、電話日志、短信和日歷的權(quán)限,有效地發(fā)揮了間諜軟件的功能,獲取用戶(hù)的敏感信息。Group-IB表示,流氓安卓應(yīng)用程序還與其在2022年6月披露的假冒安全VPN應(yīng)用程序有相似之處,后者是通過(guò)一個(gè)名為AntiBot的流量指示系統(tǒng)(TDS)向巴基斯坦的受害目標(biāo)分發(fā)。
總的來(lái)說(shuō),這些域名表明SideWinder已經(jīng)將目光投向了巴基斯坦和中國(guó)的金融、政府和執(zhí)法機(jī)構(gòu),以及專(zhuān)門(mén)從事電子商務(wù)和大眾傳媒的公司。
最后,研究人員強(qiáng)調(diào)像許多其它APT組織一樣,SideWinder依靠有針對(duì)性的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)作為初始載體。因此對(duì)于實(shí)體組織來(lái)說(shuō),部署能夠引爆惡意內(nèi)容的商業(yè)電子郵件保護(hù)解決方案至關(guān)重要。
文章來(lái)源:https://thehackernews.com/2023/05/state-sponsored-sidewinder-hacker.html
