【安全资讯】SideWinder利用南亚地区问题进行鱼叉式网络钓鱼和移动设备攻击

安恒情报中心 2020-12-10 09:50:12 743人浏览

响尾蛇( Sidewinder)为印度背景的APT威胁组织,该组织长期以南亚地区及其周边国家为目标。近期,研究人员发现了该组织用于分发恶意LNK文件并托管多个凭据网络钓鱼页面的服务器。这些页面是从受害者的Webmail登录页面复制而来的,随后被修改以进行网络钓鱼。我们认为,进一步的活动是通过鱼叉式网络钓鱼攻击传播的。


该组织的目标主要是尼泊尔和阿富汗的多个政府和军事单位。某些网络钓鱼页面会将受害者重定向到其他文档或新闻页面。这些页面和文档的主题和主题与Covid-19或尼泊尔,巴基斯坦,印度和中国之间最近的领土争端有关。此外,这些诱饵似乎是通过网络钓鱼链接分发的,部分诱饵文档如下:


  SideWinder的网络钓鱼页面伪装成尼泊尔军队的OWA(Outlook Web Access)页面 



从钓鱼页面重定向的诱饵文档,该页面讨论了印度和巴基斯坦的政治地图问题


诱饵文档会分发后门和窃密程序,主要功能是:

1)下载.NET可执行文件并运行它;
2)收集系统信息,并将其上载到命令和控制(C&C)服务器
3)将选定的文件上载到C&C服务器 



我们还在其服务器上识别出多个Android APK文件。有趣的是,这些Android应用程序仍处于初始开发阶段,并使用默认的Android图标,对用户没有实际功能。


SideWinder在之前的活动中,使用伪装成摄影和文件管理器工具的恶意APK来诱使用户下载它们。一旦下载到用户的移动设备中,恶意APK就会启动一系列相当复杂的过程,包括秘密部署有效负载,以及利用CVE-2019-2215和MediaTek-SU漏洞获取root特权。有效负载的最终目标是从受感染设备中收集信息,然后将其发送回其C&C服务器。


我们认为,在服务器上的APK文件仍处于起步阶段,有效载荷(针对移动用户)还有待完善。


结论:
从网络钓鱼攻击和移动设备工具的发展中可以看出,SideWinder非常积极地使用诸如Covid-19之类的热点主题或各种政治问题作为社会工程技术来攻击目标。因此,我们建议用户保持警惕,以保护自己免受此类运动的影响。

失陷指标(IOC)47
APT 军事 Sidewinder 钓鱼攻击 政府部门
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。