【安全资讯】SideWinder针对南亚的最新攻击活动
近日,研究人员捕获多起南亚APT组织SideWinder(又称响尾蛇)的攻击样本,该组织此前已对巴基斯坦和东南亚各国发起过多次攻击。该组织以窃取政府、能源、军事、矿产等领域的机密信息为主要目的。本次捕获到的攻击样本手法与往期相似,即通过带漏洞的RTF文档释放并执行JS脚本。
SideWinder组织惯用手法最明显标志为在一阶脚本中最后动态调用自加载程序o.work函数。常见o.work调用如下:
研究人员在对SideWinder攻击样本分析后发现,该组织在最后阶段的App.dll与以往使用的工具非常相似,其添加了异常回传、启动Decoy功能。
总结:
19年SideWinder一阶脚本代码未经任何处理,所有字符、C&C、函数名称均为明文;从20年开始SideWinder对一阶脚本进行关键字符加密,在内存加载的O.WORK功能变得更为单一仅保留加载功能去除驻留功能;21年服务器路径特征已发生变化。
失陷指标(IOC)12
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享