SideWinder APT 利用增强的工具集瞄准海事和核能领域

卡巴斯基研究人员警告称，APT 组织SideWinder（又名 Razor Tiger、Rattlesnake 和 T-APT-04）的目标是南亚、东南亚、中东和非洲的海事、物流、核能、电信和 IT 行业。

SideWinder  （又名 Razor Tiger、Rattlesnake 和 T-APT-04）自 2012 年以来一直活跃，该组织主要针对中亚国家的警察、军队、海事和海军部队。在 2022 年的攻击中，威胁行为者还针对了外交部、科学和国防组织、航空、IT 行业和法律公司的部门。

威胁行为者维护着一个大型 C2 基础设施，该基础设施由 400 多个域和子域组成，用于托管恶意负载并对其进行控制。

卡巴斯基观察到 SideWinder 在 2024 年扩大了攻击范围，并在埃及、亚洲和非洲的活动日益频繁。

俄罗斯网络安全公司观察到的一些攻击表明，其重点是南亚的核电站和核能，并且活动进一步扩展到新的非洲国家。

SideWinder 能够快速适应安全检测，在数小时内修改恶意软件，改变策略、技术和程序。该组织被发现更改文件名以保持持久性并逃避防御。

“一旦他们的工具被识别，他们就会生成新的修改版恶意软件，通常只需不到五个小时。如果检测到行为，SideWinder 会尝试更改用于维持持久性和加载组件的技术。此外，他们还会更改恶意文件的名称和路径。”卡巴斯基发布的报告写道。“因此，监控和检测该组织的活动让我们想起了乒乓球比赛。”

2024 年下半年观察到的感染模式与上一篇文章描述的一致。

感染流程与过去的攻击相同，威胁者发送带有 DOCX 文件的鱼叉式网络钓鱼电子邮件。该文档加载存储在攻击者控制的远程服务器上的 RTF 模板文件。该文件利用 Microsoft Office 内存损坏漏洞（跟踪为CVE-2017-11882）来运行恶意 shellcode 并启动多级感染过程。攻击链的最后阶段是一个名为“Backdoor Loader”的恶意软件，它会加载名为“StealerBot”的自定义后利用工具包。

“在调查过程中，我们发现了“Backdoor Loader”组件的新 C++ 版本。恶意软件逻辑与 .NET 变体中使用的逻辑相同，但 C++ 版本与 .NET 植入的不同之处在于它缺乏反分析技术。此外，大多数样本都是针对特定目标量身定制的，因为它们被配置为从嵌入在代码中的特定文件路径加载第二阶段，其中还包括用户的名称。”报告继续说道。“这表明这些变体很可能是在感染阶段之后使用的，并在验证受害者后由攻击者在已经受到攻击的基础设施中手动部署。”

大多数检测到的诱饵文件集中于政府和外交问题，但有些文件涉及汽车租赁、房地产和自由职业机会等一般话题。

“SideWinder 是一个非常活跃且持久的威胁者，它不断发展和改进其工具包。其基本感染方法是利用旧的 Microsoft Office 漏洞 CVE-2017-11882，这再次强调了安装安全补丁的重要性。”报告总结道。“尽管利用了旧的漏洞，但我们不应低估这个威胁者。事实上，SideWinder 已经展示了其破坏关键资产和知名实体（包括军队和政府实体）的能力。”

来源：https://securityaffairs.com/175247/apt/sidewinder-apt-targets-maritime-nuclear-sectors.html