【安全资讯】响尾蛇(SIDEWINDER)APT组织针对驻华大使馆的攻击披露(2019-08-30)

安恒情报中心 2021-01-08 13:49:28 715人浏览

响尾蛇(SideWinder)APT攻击组织是由国外厂商卡巴斯基是在2018年披露,该APT组织主要针对巴基斯坦等南亚国家
安恒威胁情报中心猎影实验室监测发现响尾蛇(SideWinder)APT组织在2019年6左右对我国敏感单位进行的鱼叉式钓鱼邮件攻击,涉及到的部门包括:驻华大使、敏感单位。


我们捕获了多个诱饵文件,它们利用同一个漏洞CVE-2017-11882进行鱼叉攻击。之前披露的响尾蛇(SideWinder)APT攻击组织针对巴基斯坦进行攻击时,shellcoe采取远程下载hta文件的方式进行。

相关诱饵文件的打开截图如下:

  针对保利科技有限驻外代表处的攻击样本截图。文档修改是2019年6月13日 



  针对保利科技有限驻外代表处的攻击样本截图。文档修改是2019年6月13日 


针对国内的这次攻击,攻击者对shelcode进行了改进,去掉了联网下载hta文件这个过程,采取释放内嵌完整恶意代码的js文件到tmp,再执行js脚本的方式将后门释放到系统。 

在友商一篇关于“响尾蛇APT组织针对巴基斯坦”的报告,提到到一些回连域名:



攻击者为了伪装,喜欢使用的域名包含“CDN”字符串,大部分情况格式都是hxxp://cdn-xxx.xxx的方式。

hxxp://cdn-in[.]net
hxxp://cdn-list[.]net
还有另外友商团队披露的分析报告中提到的域名:

hxxp://cdn-edge[.]net
hxxp://cdn-load[.]net
hxxp://cdn-apn[.]net
hxxps:// srv-cdn[.]com
这些域名与hxxps://cdn-dl[.]cn非常相似。


另外,其回连的url路径喜欢用一串看不出意义的字符串,作为某种特定标示。

trans-can[.]net和hxxps://cdn-dl[.]cn域名的回连地址里面也有一串看似无意义的字符串。

综上所述,由于攻击者同时控制着hxxps://trans-can[.]net和hxxps://cdn-dl[.]cn,且hxxps://cdn-dl[.]cn域名与历史域名的格式非常相似,负载hta文件也存在相似性,加载模块部分代码存在迭代更新,所以可以确定这次攻击就是来自响尾蛇APT组织.

失陷指标(IOC)2
APT 响尾蛇 SIDEWINDER 钓鱼攻击 CVE-2017-11882 中国 政府部门
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。