HackerNews 编译，转载请注明出处： 斯里兰卡、孟加拉国与巴基斯坦的高级别政府机构近期成为APT组织SideWinder新一轮攻击的重点目标。 研究人员发现，攻击者采用鱼叉式钓鱼邮件结合地理围栏技术，确保仅特定国家的目标会收到恶意载荷。攻击链通过诱饵文档激活感染流程，最终部署名为StealerBot的恶意软件，该作案手法与此前披露的SideWinder活动特征一致。 此次攻击瞄准南亚多国关键部门，包括孟加拉国电信监管委员会、国防部与财政部，巴基斯坦本土技术发展局，以及斯里兰卡外债管理局、国防部与中央银行。攻击者利用微软Office中历史悠久的远程代码执行漏洞（CVE-2017-0199与CVE-2017-11882）作为初始攻击媒介，部署具备持久化访问能力的恶意程序。 恶意文档被打开时触发CVE-2017-0199漏洞，通过DLL侧载技术释放后续载荷安装StealerBot。攻击者采用地理围栏技术增强隐蔽性：若受害者IP地址不符合预设国家范围，系统仅返回空白RTF文件作为诱饵。实际恶意RTF文件利用公式编辑器漏洞CVE-2017-11882触发内存破坏，执行基于shellcode的加载器运行StealerBot。 StealerBot是基于.NET开发的模块化植入程序，能够投放额外恶意组件、启动反向shell，并从受控主机窃取屏幕截图、键盘记录、密码、文件等敏感数据。分析指出，该组织展现出持续的活跃度与精准控制能力——恶意载荷仅在限定时间内分发给经过严格筛选的目标，反映出其组织架构的延续性与攻击意图的持久性。 攻击活动中，SideWinder延续了其标志性战术：频繁更新工具集以规避安全检测，通常在安全解决方案识别其工具后5小时内生成新变种。若遭遇行为检测，则迅速调整持久化维持与组件加载技术，并修改恶意文件路径及名称。尽管主要依赖旧版Office漏洞实施攻击，但其对目标选择的高度精准性与攻击流程的严密控制，仍使其成为南亚地区最具威胁的APT组织之一。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡巴斯基在 2024 年观察到，南亚和东南亚、中东和非洲的海事和物流公司成为了被称作 SideWinder 的高级持续性威胁（APT）组织的攻击目标。 这些攻击活动遍布孟加拉国、柬埔寨、吉布提、埃及、阿拉伯联合酋长国和越南。其他攻击目标还包括南亚和非洲的核电站和核能基础设施，以及电信、咨询、IT 服务公司、房地产代理和酒店。 在看似更广泛地扩展其受害者范围的情况下，SideWinder 还针对了阿富汗、阿尔及利亚、保加利亚、中国、印度、马尔代夫、卢旺达、沙特阿拉伯、土耳其和乌干达的外交实体。针对印度的攻击尤为显著，因为之前曾怀疑该威胁行为者来自印度。 “值得注意的是，SideWinder 不断努力改进其工具集，以领先于安全软件的检测，延长在受感染网络中的持续存在，并隐藏在受感染系统中的痕迹，”研究人员 Giampaolo Dedola 和 Vasily Berdnikov 说，他们将其描述为“一个高度先进且危险的对手”。 SideWinder 之前在 2024 年 10 月曾是俄罗斯网络安全公司进行广泛分析的主题，记录了该威胁行为者使用名为 StealerBot 的模块化后利用工具包，从受感染的主机中捕获广泛敏感信息的情况。2024 年 7 月，BlackBerry 也强调了该黑客组织针对海事部门的攻击。 最新的攻击链与之前报告的情况相符，鱼叉式网络钓鱼电子邮件作为渠道，投放利用微软 Office 公式编辑器（CVE-2017-11882）中已知安全漏洞的陷阱文档，以激活多阶段序列，进而使用名为 ModuleInstaller 的 .NET 下载器，最终启动 StealerBot。 卡巴斯基表示，一些诱饵文档与核电站和核能机构有关，而其他文档则包含提及海事基础设施和各个港口当局的内容。 “他们不断监测其工具集被安全解决方案检测到的情况，”卡巴斯基说，“一旦他们的工具被识别，他们会在不到五小时的时间内生成新的恶意软件版本。” “如果出现行为检测，SideWinder 会尝试更改用于维持持续性和加载组件的技术。此外，他们还会更改恶意文件的名称和路径。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

The Hacker News 网站披露，网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于巴基斯坦和中国境内的实体组织。 APT 组织 SideWinder 至少从 2012 年起就开始活跃，其攻击链主要利用鱼叉式网络钓鱼作为入侵机制，在受害目标的网络环境中“站稳脚跟”，从其以往的攻击目标来看， 受攻击最频繁的国家包括巴基斯坦、中国、斯里兰卡、阿富汗、孟加拉国、缅甸、菲律宾、卡塔尔和新加坡等。 SideWinder 频频攻击中国和巴基斯坦的实体组织 网络安全公司 Group IB 和 Bridewell 在与 TheHackerNews 分享的一份联合报告中指出，SideWinder 团伙在攻击过程中利用由 55 个域名和 IP 地址组成的虚假网络。研究人员 Nikita Rostovtsev、Joshua Penny和Yashraj Solaki 进一步表示已确定的钓鱼网域模仿了新闻、政府、电信和金融部门等各种组织。 2023 年 2 月初，Group-IB 揭示了 SideWinder 在 2021 年 6 月至 11 月期间可能针对亚洲各地的 61 个政府、军队、执法部门和其它组织的证据。 近期，研究人员观察到 SideWinder 在针对巴基斯坦政府组织的规避攻击中，使用了一种名为基于服务器的多态性技术。 新发现的域名模仿了巴基斯坦、中国和印度的政府组织，其特点是在 WHOIS 记录中使用相同的值和类似的注册信息。 在这些域名中，有些是以政府为主题的诱饵文件，这些文件中大部分于 2023 年 3 月从巴基斯坦上传到VirusTotal。其中一个是据称来自巴基斯坦海军战争学院（PNWC）的 Word 文件，最近几个月被 QiAnXin 和 BlackBerry 分析过。 值得一提的是，研究人员还发现了一个 Windows 快捷方式（LNK）文件，该文件于 2022 年 11 月下旬从北京上传到 VirusTotal。就 LNK 文件而言，它被设计成运行一个从远程服务器上检索到的 HTML 应用程序（HTA）文件，该服务器欺骗了清华大学的电子邮件系统（mailtsinghua.sinacn[.]co）。另一个大约在同一时间从加德满都上传到 VirusTotal 的 LNK 文件，从伪装成尼泊尔政府网站的域（mailv.mofs gov[.]org）中获取了 HTA 文件。 研究人员在对 SideWinder 进一步调查后，发现了一个恶意的 Android APK 文件（226617），该文件于2023 年 3 月从斯里兰卡上传到 VirusTotal。 这个流氓安卓应用程序冒充“Ludo Game”，并提示用户授予其访问联系人、位置、电话日志、短信和日历的权限，有效地发挥了间谍软件的功能，获取用户的敏感信息。Group-IB 表示，流氓安卓应用程序还与其在 2022 年 6 月披露的假冒安全 VPN 应用程序有相似之处，后者是通过一个名为 AntiBot 的流量指示系统（TDS）向巴基斯坦的受害目标分发。 总的来说，这些域名表明 SideWinder 已经将目光投向了巴基斯坦和中国的金融、政府和执法机构，以及专门从事电子商务和大众传媒的公司。 最后，研究人员强调像许多其它 APT 组织一样，SideWinder 依靠有针对性的鱼叉式网络钓鱼作为初始载体。因此对于实体组织来说，部署能够引爆恶意内容的商业电子邮件保护解决方案至关重要。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366828.html 封面来源于网络，如有侵权请联系删除