【安全资讯】响尾蛇组织(SideWinder)攻击预警

猎影实验室 2022-09-23 14:18:12 347人浏览

近日,安恒信息CERT捕获一批SideWinder APT组织样本,样本属于采用Delphi编写的Downloader,利用DotNetToJScript技术加载远程JS代码,最终以无文件落地方式在内存加载执行C#编写的shell工具。在本次捕获的大量攻击样本的基础上,通过新旧版本的样本分析我们推测SideWinder组织使用了某种私有的Downloader生成工具,仅需修改基本配置即可生成新的攻击样本,而并非在每次攻击前编写攻击组件。

 

本次攻击活动中第一阶段Delphi Downloader程序伪装成系统程序propsys.dll,第二阶段利用JavaScript组件加载执行远程js代码,js代码利用DotNetToJScript技术加载执行.NET程序,最终在受害者机器上开启监听端口,供远程攻击者访问与下发指令。

失陷指标(IOC)5
APT SideWinder
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。