SideWinder APT组织升级攻击武器，瞄准海事与核能领域！

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近期，全球网络安全研究机构卡巴斯基（Kaspersky）发布警告，知名高级持续性威胁（APT）组织SideWinder正在加大对海事、物流、核能、通讯和IT行业的攻击力度，涉及范围覆盖南亚、东南亚、中东和非洲地区。

SideWinder APT组织背景

SideWinder，又被称为“Razor Tiger”、“Rattlesnake”或“T-APT-04”，自2012年以来一直活跃，主要针对中亚的警察、军方、海事及海军机构发动攻击。近年来，该组织的攻击目标逐步扩大，涵盖外交、科研、国防、航空、法律和IT行业。

在2024年，SideWinder组织的攻击活动大幅增长，攻击范围进一步扩展至埃及、亚洲及非洲的新国家。特别值得关注的是，该组织正在密集攻击南亚的核能设施，试图渗透核电站和相关能源机构。

攻击战术全面升级

SideWinder以其快速适应安全防御的能力著称。该组织能够在短短数小时内修改恶意软件，以规避安全检测。他们利用文件名变更、恶意代码重构等手段维持持久性，令安全团队疲于应对。

“SideWinder在检测到自身工具暴露后，会在5小时内生成新的变种，并改变攻击方式以维持感染。”——卡巴斯基研究报告。

攻击流程揭秘

该组织的攻击链依旧采用经典的鱼叉式网络钓鱼（Spear Phishing）手法，通过发送携带恶意DOCX文档的邮件来诱导目标用户打开。当受害者打开文档后，文件会自动加载存储在远程服务器上的RTF模板，并利用微软Office的内存破坏漏洞（CVE-2017-11882）执行恶意Shellcode，进而触发多级感染流程。

最终，攻击者部署了一款名为“Backdoor Loader”的恶意软件，并进一步加载自定义的后渗透工具“StealerBot”，实现长期控制与数据窃取。

新发现：C++版“Backdoor Loader”

研究人员发现，SideWinder近期引入了全新的C++版“Backdoor Loader”。虽然其核心逻辑与.NET版本一致，但C++版缺少反分析技术，并且多数样本针对特定目标进行了定制化处理。例如，部分恶意代码会加载特定文件路径的第二阶段Payload，而该路径中甚至包含了受害者的用户名。这表明，这些变种很可能是在成功入侵后，攻击者手动投放至目标系统中的。

鱼饵文档：从政府机密到求职招聘

SideWinder组织所利用的钓鱼文档主题广泛，主要涵盖政府及外交事务，但也涉及租车、房地产、自由职业招聘等社会化话题，以此增加诱导受害者打开的可能性。

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：SideWinder APT组织升级攻击武器，瞄准海事与核能领域！