【安全资讯】SideWinder组织正在攻击巴基斯坦

SideWinder 组织，又被称“响尾蛇”、“APT-C-17”、“T-APT-04”，主要针对巴基斯坦等南亚国家进行定向攻击。近日，研究人员检测到SideWinder 组织常用的鱼叉式钓鱼攻击文件，以及相关远控程序。此次钓鱼攻击针对的目标为巴基斯坦财务司和外交部。

攻击者使用鱼叉式钓鱼文件 Pay and Pension Increase Circular_Finance Division.zip（工资和养老金增加通知_财务司.zip），解压后得到 SideWinder 常用lnk攻击文件，使用 mshta 去下载远程 hta 文件。针对巴基斯坦外交部的鱼叉式钓鱼文件 Belarus & CSTO.docx 后续下载的远程模板文件。远程模板仍然是采用 CVE-2017-11882 漏洞利用执行释放在 %temp% 下名为 1.a的 js 脚本文件。最后由 1.a 去内存加载 SideWinder 的 downloader，下载下阶段文件。