The Hacker News 網站披露，網絡安全研究人員近期發現 APT 組織 SideWinder 正在“集中火力”猛攻位于我國和巴基斯坦境內的實體組織。

APT 組織 SideWinder 至少從 2012 年起就開始活躍，其攻擊鏈主要利用魚叉式網絡釣魚作為入侵機制，在受害目標的網絡環境中“站穩腳跟”，從其以往的攻擊目標來看， 受攻擊最頻繁的國家包括巴基斯坦、中國、斯里蘭卡、阿富汗、孟加拉國、緬甸、菲律賓、卡塔爾和新加坡等。

SideWinder 頻頻攻擊中國和巴基斯坦的實體組織

網絡安全公司 Group IB 和 Bridewell 在與 TheHackerNews 分享的一份聯合報告中指出，SideWinder 團伙在攻擊過程中利用由 55 個域名和 IP 地址組成的虛假網絡。研究人員 Nikita Rostovtsev、Joshua Penny和Yashraj Solaki 進一步表示已確定的釣魚網域模仿了新聞、政府、電信和金融部門等各種組織。

2023 年 2 月初，Group-IB 揭示了 SideWinder 在 2021 年 6 月至 11 月期間可能針對亞洲各地的 61 個政府、軍隊、執法部門和其它組織的證據。

近期，研究人員觀察到 SideWinder 在針對巴基斯坦政府組織的規避攻擊中，使用了一種名為基于服務器的多態性技術。 新發現的域名模仿了巴基斯坦、中國和印度的政府組織，其特點是在 WHOIS 記錄中使用相同的值和類似的注冊信息。

在這些域名中，有些是以政府為主題的誘餌文件，這些文件中大部分于 2023 年 3 月從巴基斯坦上傳到VirusTotal。其中一個是據稱來自巴基斯坦海軍戰爭學院（PNWC）的 Word 文件，最近幾個月被 QiAnXin 和 BlackBerry 分析過。

值得一提的是，研究人員還發現了一個 Windows 快捷方式（LNK）文件，該文件于 2022 年 11 月下旬從北京上傳到 VirusTotal。就 LNK 文件而言，它被設計成運行一個從遠程服務器上檢索到的 HTML 應用程序（HTA）文件，該服務器欺騙了清華大學的電子郵件系統（mailtsinghua.sinacn[.]co）。另一個大約在同一時間從加德滿都上傳到 VirusTotal 的 LNK 文件，從偽裝成尼泊爾政府網站的域（mailv.mofs gov[.]org）中獲取了 HTA 文件。

研究人員在對 SideWinder 進一步調查后，發現了一個惡意的 Android APK 文件（226617），該文件于2023 年 3 月從斯里蘭卡上傳到 VirusTotal。

這個流氓安卓應用程序冒充“Ludo Game”，并提示用戶授予其訪問聯系人、位置、電話日志、短信和日歷的權限，有效地發揮了間諜軟件的功能，獲取用戶的敏感信息。Group-IB 表示，流氓安卓應用程序還與其在 2022 年 6 月披露的假冒安全 VPN 應用程序有相似之處，后者是通過一個名為 AntiBot 的流量指示系統（TDS）向巴基斯坦的受害目標分發。

總的來說，這些域名表明 SideWinder 已經將目光投向了巴基斯坦和中國的金融、政府和執法機構，以及專門從事電子商務和大眾傳媒的公司。

最后，研究人員強調像許多其它 APT 組織一樣，SideWinder 依靠有針對性的魚叉式網絡釣魚作為初始載體。因此對于實體組織來說，部署能夠引爆惡意內容的商業電子郵件保護解決方案至關重要。

文章來源:https://thehackernews.com/2023/05/state-sponsored-sidewinder-hacker.html