与印度有联系的SideWinder APT组织,对中东和非洲的知名实体和战略基础设施发动了一系列攻击。
SideWinder 组织又名 APT-C-17、Baby Elephant、Hardcore Nationalist、Leafperforator、Rattlesnake、Razor Tiger 和 T-APT-04。
卡巴斯基研究人员 Giampaolo Dedola 和 Vasily Berdnikov 表示:“由于该组织使用公开的漏洞利用程序、恶意 LNK 文件和脚本作为感染媒介,并使用公开的 RAT,因此该组织可能被视为技术水平较低的攻击组织,但只有仔细检查其行动细节,才能发现其真实能力。 ”
袭击目标包括孟加拉国、吉布提、约旦、马来西亚、马尔代夫、缅甸、尼泊尔、巴基斯坦、沙特阿拉伯、斯里兰卡、土耳其和阿联酋的政府和军事实体、物流公司、基础设施和电信公司、金融机构、大学和石油贸易公司等等。
据观察,SideWinder 还瞄准阿富汗、法国、中国、印度、印度尼西亚和摩洛哥的外交机构。
最近的活动中最显著的方面是使用多阶段感染链来传递一个以前未知的名为 StealerBot 的后开发工具包。
一切都始于一封带有附件的鱼叉式网络钓鱼电子邮件(附件要么是包含 Windows 快捷方式(LNK)文件或 Microsoft Office 文档的 ZIP 存档),然后执行一系列中间 JavaScript 和 .NET 下载程序,最终部署 StealerBot 恶意软件。
这些文档依靠久经考验的远程模板注入技术来下载存储在攻击者控制的远程服务器上的 RTF 文件。RTF 文件会触发CVE-2017-11882漏洞,从而执行 JavaScript 代码,该代码负责运行托管在 mofa-gov-sa.direct888[.]net 上的其他 JavaScript 代码。
另一方面,LNK 文件使用mshta.exe实用程序(一个用于执行 Microsoft HTML 应用程序 (HTA) 文件的 Windows 原生二进制文件)来运行攻击者控制的恶意网站上托管的相同 JavaScript 代码。
JavaScript 恶意软件用于提取嵌入的 Base64 编码字符串,即名为“App.dll”的 .NET 库,该库收集系统信息并充当从服务器下载第二个 .NET 有效负载的下载器(“ModuleInstaller.dll”)。
ModuleInstaller 也是一个下载程序,但它具备在主机上保持持久性、执行后门加载器模块和检索下一阶段组件的功能。但有趣的是,它们的运行方式取决于主机上安装的端点安全解决方案。
研究人员表示:“Bbckdoor 加载器模块自 2020 年以来就已被观察到”,并指出它能够逃避检测并避免在沙盒环境中运行。“多年来它几乎保持不变。”
SideWinder 的最新活动架构
“Bbckdoor 加载器最近被攻击者更新了,主要的区别在于,旧变种配置为使用程序中嵌入的特定文件名加载加密文件,而最新变种则被设计为枚举当前目录中的所有文件并加载那些没有扩展名的文件。”
攻击的最终目标是通过 Backdoor 加载模块植入 StealerBot。该模块被描述为基于 .NET 的“高级模块化植入”,专门用于通过获取多个插件来促进间谍活动:
使用 C++ 下载程序安装其他恶意软件
截取屏幕截图
记录击键
从浏览器窃取密码
拦截 RDP 凭证
窃取文件
启动反向shell
钓鱼 Windows 凭据,以及
绕过用户帐户控制(UAC)提升权限
研究人员表示:“植入物由‘Orchestrator’加载的不同模块组成,Orchestrator 负责与 [命令和控制] 进行通信并执行和管理插件。Orchestrator 通常由后门加载器模块加载。”
卡巴斯基表示,它检测到两个安装程序组件 - 名为 InstallerPayload 和 InstallerPayload_NET - 它们不属于攻击链,但用于安装 StealerBot,可能更新到新版本或感染其他用户。
技术报告:https://securelist.com/sidewinder-apt/114089/
新闻链接:
https://thehackernews.com/2024/10/sidewinder-apt-strikes-middle-east-and.html
