SideWinder网络钓鱼活动以多个国家的海上设施为目标

SideWinder（也被称为Razor Tiger、Rattlesnake和T-APT-04）自2012年以来一直活跃，该组织主要针对中亚国家的警察、军事、海事和海军力量。在2022年的攻击中，威胁参与者还瞄准了外交部、科学和国防组织、航空业、IT行业和律师事务所等部门。

威胁参与者维护着一个庞大的C2基础设施，由400多个域和子域组成，这些域和子域被用来托管恶意负载并控制它们。

黑莓研究与情报团队将此次活动归因于SideWinder组织。在活动中使用的域和文档作为攻击第一阶段的一部分，表明威胁参与者正在瞄准巴基斯坦、埃及和斯里兰卡。在第二阶段传递中使用的子域表明攻击者也在瞄准孟加拉国、缅甸、尼泊尔和马尔代夫。

在最近的活动中，威胁参与者使用了精心制作的文档，这些文档看起来合法且对目标来说很熟悉。诱饵文档中包含了与受害者工作环境相关的可识别标志和主题。这些文档作为“视觉诱饵”，通常与特定基础设施（如港口）相关。在一个案例中，攻击者使用了与亚历山大港和红海港口管理局虚假关联的文档。专家发现了三种不同的视觉诱饵，标题如“员工解雇”和“减薪”。攻击者在部署恶意软件时使用这些诱饵文档作为分散注意力的战术。

“威胁参与者希望通过引发强烈的情绪，如恐惧或焦虑，迫使目标立即打开并阅读文档。受害者将因此分心，以至于他们不会注意到设备上的奇怪事件，比如（例如）由高CPU使用率引起的系统弹出窗口或风扇噪音增加，这通常是恶意软件感染的早期预警信号。”

黑莓研究人员发布的分析指出：“威胁参与者希望通过引发强烈的情绪，如恐惧或焦虑，迫使目标立即打开并阅读文档。受害者将因此分心，以至于他们不会注意到设备上的奇怪事件，比如（例如）由高CPU使用率引起的系统弹出窗口或风扇噪音增加，这通常是恶意软件感染正在进行的早期预警信号。”

SideWinder钓鱼活动

在打开诱饵文件后，它依赖于远程模板注入技术（CVE-2017-0199）来初步访问目标的系统。此漏洞影响Microsoft Office，并允许攻击者使用包含OLE2link对象的特制文档来传播恶意软件。

“尽管此问题被标记为Outlook问题，但实际上这个漏洞源自RTF文件中的问题。根据已发布的报告，该漏洞利用是在特制文档中嵌入OLE2link对象。还应注意的是，通过启用Office的“保护视图”功能可以阻止这些攻击。Office和Windows都有待应用的更新，并且两者都应被视为实现完全保护所必需的。”零日计划（Zero Day Initiative）的补丁星期二（Patch Tuesday）分析中指出。

尽管微软已在2017年4月修复了这个漏洞，但攻击者仍在利用该漏洞，针对拥有过时、分散或老旧基础设施的大型组织。他们试图瞄准这些组织中仍未修补的端点，因此这些端点容易受到攻击。

这些钓鱼电子邮件包含一个恶意文档，其中包含一个纯文本URL，该URL链接到攻击者控制的网站。当打开文档时，它会访问此URL以下载恶意软件的下一阶段。具体来说，一个RTF文件利用CVE-2017-11882漏洞来执行shellcode，该shellcode在解密恶意代码并运行从远程服务器加载额外恶意负载的JavaScript代码之前，会检查系统是否为真实机器（而非虚拟机）。这种方法有助于逃避安全团队的检测。

该报告包含了此次活动的妥协指标（IoCs）以及详细的MITRE ATT&CK®映射，但研究人员尚未观察到攻击最后阶段中交付的JavaScript样本。

“SideWinder威胁参与者继续改进其基础设施，以针对新地区的受害者。其网络基础设施和交付负载的稳步发展表明，SideWinder在可预见的未来将继续进行攻击。”报告总结道。“然而，根据SideWinder之前的活动，我们认为此次活动的目标是间谍活动和情报收集。”

原文始发于微信公众号（黑猫安全）：SideWinder网络钓鱼活动以多个国家的海上设施为目标