【安全资讯】响尾蛇组织（SideWinder）攻击预警

近日，安恒信息CERT捕获一批SideWinder APT组织样本，样本属于采用Delphi编写的Downloader，利用DotNetToJScript技术加载远程JS代码，最终以无文件落地方式在内存加载执行C#编写的shell工具。在本次捕获的大量攻击样本的基础上，通过新旧版本的样本分析我们推测SideWinder组织使用了某种私有的Downloader生成工具，仅需修改基本配置即可生成新的攻击样本，而并非在每次攻击前编写攻击组件。

本次攻击活动中第一阶段Delphi Downloader程序伪装成系统程序propsys.dll，第二阶段利用JavaScript组件加载执行远程js代码，js代码利用DotNetToJScript技术加载执行.NET程序，最终在受害者机器上开启监听端口，供远程攻击者访问与下发指令。