自 2020 年 4 月以來，一個名為SideWinder的“攻擊性”高級持續(xù)威脅 (APT) 組織與 1,000 多次新攻擊有關。

網(wǎng)絡安全公司卡巴斯基（Kaspersky）表示：“這個威脅行為者的一些主要特征使其在其他攻擊者中脫穎而出，包括攻擊的數(shù)量、頻率和持久性，以及在其操作中使用的大量加密和混淆惡意組件?！?/span>本月在 Black Hat Asia 上發(fā)表的一份報告中說。

SideWinder，也稱為 Rattlesnake 或 T-APT-04，據(jù)說至少自 2012 年以來就一直活躍，其目標是阿富汗、孟加拉國等中亞國家的軍事、國防、航空、IT 公司和法律公司，尼泊爾、巴基斯坦。

卡巴斯基上月底發(fā)布的 2022 年第一季度 APT 趨勢報告顯示，威脅行為者正在積極將其目標的地理范圍從其傳統(tǒng)的受害者概況擴展到包括新加坡在內的其他國家和地區(qū)。

SideWinder 還被觀察到利用正在進行的俄羅斯 - 烏克蘭戰(zhàn)爭作為其網(wǎng)絡釣魚活動的誘餌，以分發(fā)惡意軟件和竊取敏感信息。

對抗性集體的感染鏈以包含惡意軟件操縱的文檔而著稱，這些文檔利用 Microsoft Office 的公式編輯器組件 ( CVE-2017-11882 ) 中的遠程代碼漏洞在受感染的系統(tǒng)上部署惡意負載。

此外，SideWinder 的工具集采用了幾個復雜的混淆例程、為每個惡意文件使用唯一密鑰進行加密、多層惡意軟件以及將命令和控制 (C2) 基礎設施字符串拆分為不同的惡意軟件組件。

三階段感染序列從惡意文檔丟棄 HTML 應用程序 (HTA) 有效負載開始，該負載隨后加載基于 .NET 的模塊以安裝第二階段 HTA 組件，該組件旨在部署基于 .NET 的安裝程序。

在下一階段，此安裝程序既負責在主機上建立持久性，又負責將最終后門加載到內存中。就其本身而言，植入物能夠收集感興趣的文件以及系統(tǒng)信息等。

在過去兩年中，威脅參與者使用了不少于 400 個域和子域。為了增加額外的隱藏層，用于 C2 域的 URL 被分成兩部分，第一部分包含在 .NET 安裝程序中，后半部分在第二階段 HTA 模塊中加密。

卡巴斯基的 Noushin Shabab 說：“這個威脅參與者使用各種感染媒介和高級攻擊技術具有相對較高的復雜性，”他敦促組織使用最新版本的 Microsoft Office 來緩解此類攻擊。