絡安全研究人員近期發現APT組織SideWinder正在“集中火力”猛攻位于巴基斯坦和中國境內的實體組織。

　　TheHackerNews網站披露，網絡安全研究人員近期發現APT組織SideWinder正在“集中火力”猛攻位于我國和巴基斯坦境內的實體組織。

　　APT組織SideWinder至少從2012年起就開始活躍，其攻擊鏈主要利用魚叉式網絡釣魚作為入侵機制，在受害目標的網絡環境中“站穩腳跟”，從其以往的攻擊目標來看，受攻擊最頻繁的國家包括巴基斯坦、中國、斯里蘭卡、阿富汗、孟加拉國、緬甸、菲律賓、卡塔爾和新加坡等。

　　SideWinder頻頻攻擊中國和巴基斯坦的實體組織

　　網絡安全公司GroupIB和Bridewell在與TheHackerNews分享的一份聯合報告中指出，SideWinder團伙在攻擊過程中利用由55個域名和IP地址組成的虛假網絡。研究人員NikitaRostovtsev、JoshuaPenny和YashrajSolaki進一步表示已確定的釣魚網域模仿了新聞、政府、電信和金融部門等各種組織。
　　2023年2月初，Group-IB揭示了SideWinder在2021年6月至11月期間可能針對亞洲各地的61個政府、軍隊、執法部門和其它組織的證據。

　　近期，研究人員觀察到SideWinder在針對巴基斯坦政府組織的規避攻擊中，使用了一種名為基于服務器的多態性技術。新發現的域名模仿了巴基斯坦、中國和印度的政府組織，其特點是在WHOIS記錄中使用相同的值和類似的注冊信息。

　　在這些域名中，有些是以政府為主題的誘餌文件，這些文件中大部分于2023年3月從巴基斯坦上傳到VirusTotal。其中一個是據稱來自巴基斯坦海軍戰爭學院（PNWC）的Word文件，最近幾個月被QiAnXin和BlackBerry分析過。
　　值得一提的是，研究人員還發現了一個Windows快捷方式（LNK）文件，該文件于2022年11月下旬從北京上傳到VirusTotal。就LNK文件而言，它被設計成運行一個從遠程服務器上檢索到的HTML應用程序（HTA）文件，該服務器欺騙了清華大學的電子郵件系統（mailtsinghua.sinacn[.]co）。另一個大約在同一時間從加德滿都上傳到VirusTotal的LNK文件，從偽裝成尼泊爾政府網站的域（mailv.mofsgov[.]org）中獲取了HTA文件。

　　研究人員在對SideWinder進一步調查后，發現了一個惡意的AndroidAPK文件（226617），該文件于2023年3月從斯里蘭卡上傳到VirusTotal。

　　這個流氓安卓應用程序冒充“LudoGame”，并提示用戶授予其訪問聯系人、位置、電話日志、短信和日歷的權限，有效地發揮了間諜軟件的功能，獲取用戶的敏感信息。Group-IB表示，流氓安卓應用程序還與其在2022年6月披露的假冒安全VPN應用程序有相似之處，后者是通過一個名為AntiBot的流量指示系統（TDS）向巴基斯坦的受害目標分發。

　　總的來說，這些域名表明SideWinder已經將目光投向了巴基斯坦和中國的金融、政府和執法機構，以及專門從事電子商務和大眾傳媒的公司。

　　最后，研究人員強調像許多其它APT組織一樣，SideWinder依靠有針對性的魚叉式網絡釣魚作為初始載體。因此對于實體組織來說，部署能夠引爆惡意內容的商業電子郵件保護解決方案至關重要。

　　文章來源:https://thehackernews.com/2023/05/state-sponsored-sidewinder-hacker.html