【安全资讯】SideWinder针对南亚的最新攻击活动

匿名用户 2021-04-19 14:03:04 863人浏览

近日,研究人员捕获多起南亚APT组织SideWinder(又称响尾蛇)的攻击样本,该组织此前已对巴基斯坦和东南亚各国发起过多次攻击。该组织以窃取政府、能源、军事、矿产等领域的机密信息为主要目的。本次捕获到的攻击样本手法与往期相似,即通过带漏洞的RTF文档释放并执行JS脚本。


SideWinder组织惯用手法最明显标志为在一阶脚本中最后动态调用自加载程序o.work函数。常见o.work调用如下:



研究人员在对SideWinder攻击样本分析后发现,该组织在最后阶段的App.dll与以往使用的工具非常相似,其添加了异常回传、启动Decoy功能。


总结:

19年SideWinder一阶脚本代码未经任何处理,所有字符、C&C、函数名称均为明文;从20年开始SideWinder对一阶脚本进行关键字符加密,在内存加载的O.WORK功能变得更为单一仅保留加载功能去除驻留功能;21年服务器路径特征已发生变化。

失陷指标(IOC)12
APT SideWinder 其他
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。