Sidewinder组织将攻击过程分解成多个阶段，有多次网络下载过程，且连接的C2会检查访问IP所属国家，只允许本次的攻击目标所属国家的IP进行访问，另一方面，为了躲避安全软件的查杀，关键的恶意程序只在内存中执行，最终的远控程序落地为加密数据的形式，需要加载器解密后才执行。另外响尾蛇组织也会使用开源工具进行攻击活动，在C2的网络特征，域名构造方式有很大的关联性，整体攻击过程比较简单，最终用dll侧加载的方式在内存中解密执行Cobalt Strike的beacon载荷，实现对用户机器的控制。此外响尾蛇组织还对Android手机用户进行攻击，通过Google Play散发恶意apk安装包，窃取目标手机中的隐私信息和机密文件。

研究人员最近分析了用于攻击巴基斯坦政府的恶意软件样本，该样本被怀疑是SideWinder APT组织所为。在这次特定的攻击活动中，SideWinder利用有针对性的鱼叉式网络钓鱼电子邮件来针对政府组织。这些电子邮件包含一个名为“Adv-16-2023”的 PDF 附件，冒充巴基斯坦内阁部门发布的安全建议。打开文件后，系统会提示受害者下载受密码保护的 RAR 文件。该压缩文件包含伪装成 PDF 文件的恶意 LNK 文件。打开LNK文件后，攻击者使用mshta.exe下载并执行something.hta文件。下载的 HTA 文件利用 VBScript 下载攻击中使用的其他组件。其中一个组件是 version.dll，它位于本地 OneDrive 目录中。攻击者利用DLL侧载劫持本地OneDrive程序及其更新程序，从而部署渗透测试中常用的远程控制程序Cobalt Strike来控制受感染的机器。

近期，研究人员监测到Sidewinder组织对巴基斯坦政府单位的最新攻击动态。在本次攻击活动中，监测到响尾蛇组织使用钓鱼邮件攻击政府单位的事件，本次事件相关的邮件附件名称为“ Adv-16-2023”，是关于巴基斯坦内阁部门发布的网络安全咨询16号文件。钓鱼文件内容以文档被微软Azure云安全保护为由，引诱用户下载带有密码的压缩包文件，压缩包中包含一个恶意lnk文件，用于下载第二阶段HTA下载脚本，最后劫持本地Onedrive客户端程序及其更新程序实现DLL侧加载，最终上线Cobalt Strike载荷，用户机器中Onedrive定时更新的计划任务也会成为响尾蛇组织的持久化计划任务，整个攻击过程与之前披露的攻击大相径庭，攻击过程更为简单，样本制作成本更低。

SideWinder是最活跃、最多产的APT组织之一。研究人员发现了以前未记录的攻击基础设施，该基础设施被SideWinder用来攻击位于巴基斯坦和中国的实体。研究人员检测到55个以前未知的 IP 地址，SideWinder 可以在未来的攻击中使用这些地址。已识别的网络钓鱼域模仿新闻、政府、电信和金融部门的各种组织。

从2022 年 11 月下旬开始，SideWinder组织使用服务器端多态性技术攻击巴基斯坦政府官员。这种技术可允许攻击者绕过传统的基于签名的防病毒(AV)检测来提供其下一阶段的有效载荷。其中，由于多态恶意软件是通过加密和混淆改变其外观的恶意代码，因此基于签名的传统AV软件很难捕获此类恶意软件。此外，从2023 年 3 月上旬开始，SideWinder组织将土耳其确定为新目标。

2021年6月至2021年11月期间，SideWinder攻击者试图以阿富汗、不丹、缅甸、尼泊尔和斯里兰卡的 61 个政府、军队、执法部门和其他组织为目标发起钓鱼攻击。攻击始于鱼叉式钓鱼邮件，会导致下载恶意文档、LNK文件或恶意payload。活动中有两个新工具：SideWinder.RAT.b（一种远程访问木马）和SideWinder.StealerPy（一种用 Python 编写的自定义信息窃取程序）。

研究人员捕获到一起SideWinder组织的攻击活动，攻击者通过钓鱼邮件向我国某高校发起网络攻击，通过在邮件中附带恶意附件执行恶意代码，并且攻击者在打包压缩包过程中遗留了打包文件，通过打包文件可以关联出一批同属于该组织的其他攻击样本。除了针对我国的攻击外，攻击者还利用模板注入的方式投递恶意文档，向巴基斯坦政府、军队等单位发起攻击，根据该组织以往的攻击活动判断，后续会下载攻击者的下载器木马执行后续攻击。

Sidewinder组织在最近的活动中，使用与巴基斯坦相关的学校或者军队为诱饵进行鱼叉攻击，其攻击技战法(TTP)均使用了DotNetToJScript工具生成JS代码来加载.net程序。近期的攻击活动有以下攻击手段特点：(1)擅用社会工程学，使用更贴切的诱饵，诱饵甚至来自真实文件；(2)多阶段下载，并对后续载荷进行混淆处理；(3)使用轻量级远程Shell后门，甚至被曝光后仍继续使用相关C2。

SideWinder APT组织在针对巴基斯坦的活动中使用了一种名为“WarHawk”的新后门。WarHawk后门由四个模块组成：下载和执行模块；命令执行模块；文件管理器 InfoExfil 模块；UploadFromC2模块。WarHawk后门包含各种提供Cobalt Strike的恶意模块，并结合了新的TTP，例如KernelCallBackTable注入和巴基斯坦标准时区检查。研究人员发现了托管在巴基斯坦国家电力监管局合法网站上的 ISO 文件，这可能表明他们的网络服务器受到了威胁。

响尾蛇（SideWinder）是疑似具有南亚背景的APT组织，其攻击活动最早可追溯到2012年。研究人员捕获到一批疑似SideWinder组织Android端攻击样本。此次捕获的样本主要针对南亚地区开展攻击活动，国内用户不受其影响。攻击活动有如下特点：1. 样本托管在Google Play商店，伪装成Secure VPN(VPN加密通信软件)、Supereme Allah、Z Cleaner(手机清理软件)、Secure browser(浏览器软件)，安装人数超过1K+。2. C2地址隐蔽性增强，包括硬编码在样本中、加密保存在google play安装链接参数中、通过firebase后台下发C2。