【安全资讯】SideWinder APT组织瞄准港口和海事设施进行间谍活动
概要:
著名的国家级威胁行为者SideWinder最近发起了一场复杂的新攻击活动,目标是印度洋和地中海的港口和海事设施。根据BlackBerry威胁研究与情报部门的最新报告,该组织的攻击重点集中在巴基斯坦、埃及和斯里兰卡,并对孟加拉国、缅甸、尼泊尔和马尔代夫表现出兴趣。主要内容:
SideWinder组织自2012年以来一直活跃,以其先进的战术、技术和程序(TTPs)而闻名。在这次最新的攻击活动中,该组织升级了其基础设施,并采用了新的技术来规避检测和投放目标植入物。研究人员发现,该组织使用鱼叉式网络钓鱼、文档利用和DLL侧加载技术来避免检测。该组织精心制作恶意文档,使其看起来合法,通常包含熟悉的标志、公司名称和目标识别的主题。例如,研究人员观察到伪造的文件声称来自亚历山大港和红海港务局。这些文件利用远程模板注入技术(CVE-2017-0199)来获得目标系统的初始访问权限。尽管自2017年以来已有补丁,但许多基础设施过时的组织仍然容易受到攻击。
攻击链始于包含指向恶意网站URL的钓鱼电子邮件,一旦打开,文档会联系指定的URL地址并下载攻击的下一阶段,通常涉及利用CVE-2017-11882的富文本格式(RTF)文件。文件中的shellcode会检查受害者的系统,只有在系统真实的情况下才会继续攻击,以确保避免安全团队的检测。第二阶段的命令和控制(C2)基础设施使用旧的Tor节点,可能是为了混淆网络分析。然而,通过DNS分析等技术仍然可以识别投递基础设施。
BlackBerry报告提供了SideWinder TTPs的详细技术分析,包括组织可以用来检测和缓解此威胁的妥协指标(IOCs)。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享