SideWinder,又名 T-APT-04 或 Rattle-Snake�����,于 2012 年開(kāi)始活動(dòng)�,并于 2018 年首次被卡巴斯基公開(kāi)提及�����。多年來(lái)�,該組織對(duì)南亞和東南亞的知名實(shí)體發(fā)動(dòng)了攻擊。其主要目標(biāo)是巴基斯坦���、斯里蘭卡�����、中國(guó)和尼泊爾的軍事和政府實(shí)體��。
2025年3月10日���,卡巴斯基披露了有關(guān)APT組織—SideWinder最新的攻擊活動(dòng)���。該組織正在將其活動(dòng)范圍擴(kuò)展到其典型目標(biāo)之外的南亞的核電站和核能,以及非洲國(guó)家的物流公司和海事基礎(chǔ)設(shè)施的領(lǐng)域���。
攻擊者發(fā)送帶有 DOCX文件的魚叉式網(wǎng)絡(luò)釣魚電子郵件��。該文檔使用遠(yuǎn)程模板注入技術(shù)下載存儲(chǔ)在攻擊者控制的遠(yuǎn)程服務(wù)器上的RTF文件��。該文件利用 Microsoft Office 內(nèi)存損壞漏洞 (CVE-2017-11882) 來(lái)運(yùn)行惡意 shellcode 并啟動(dòng)多級(jí)感染過(guò)程,從而導(dǎo)致安裝命名為“Backdoor Loader”的惡意軟件����。它充當(dāng)“StealerBot”的加載器,StealerBot是SideWinder獨(dú)家使用的后利用工具包���。這些文件使用各種主題來(lái)欺騙受害者��,使他們相信這些文件是合法的�����。
RTF漏洞利用
該漏洞利用文件包含一個(gè) shellcode����,自卡巴斯基之前的研究以來(lái),攻擊者已經(jīng)對(duì)其進(jìn)行了更新�����,但主要目標(biāo)仍然是一樣的:運(yùn)行嵌入式JavaScript代碼����,調(diào)用mshtml.RunHTML Application函數(shù)。
在新版本中�����,嵌入的 JavaScript 運(yùn)行Windows實(shí)用程序mshta.exe��,并從遠(yuǎn)程服務(wù)器獲取其他代碼:
新版本的shellcode仍然使用了一些技巧來(lái)避免沙箱檢測(cè)并增加分析難度�����,它們與過(guò)去版本略有不同:
?它通過(guò)調(diào)用GlobalMemoryStatusEx函數(shù)來(lái)確定系統(tǒng)中 RAM 的大小��。
?它嘗試加載nlssorting.dll庫(kù)��,如果操作成功���,則終止執(zhí)行���。
JavaScript 加載器
RTF漏洞導(dǎo)致執(zhí)行mshta.exe Windows實(shí)用程序���,該程序被攻擊者濫用,從攻擊者控制的遠(yuǎn)程服務(wù)器下載惡意的HTA文件�����。
遠(yuǎn)程 HTA文件嵌入了一個(gè)高度混淆的 JavaScript 文件����,該文件會(huì)將進(jìn)一步地惡意軟件“下載器模塊”加載到內(nèi)存中���。
JavaScript 加載程序運(yùn)行分為兩個(gè)階段�。第一階段開(kāi)始執(zhí)行時(shí)�����,會(huì)加載各種字符串���,這些字符串最初使用替換算法進(jìn)行編碼并存儲(chǔ)為變量�。然后���,它會(huì)檢查已安裝的 RAM大小����,如果總大小小于 950 MB,則終止���。否則��,之前解碼的字符串將被用于加載第二階段��。
第二階段是另一個(gè)JavaScript文件���。它會(huì)枚舉 Windows%\Microsoft.NET\Framework\ 路徑下的子文件夾,以查找系統(tǒng)上安裝的 .NET Framework 版本����,并利用檢測(cè)到的版本值來(lái)配置環(huán)境變量COMPLUS_Version。
最后�,第二階段會(huì)解碼并加載嵌入在其代碼中的“下載器模塊”,該模塊以 base64 編碼的 .NET 序列化流的形式存在�����。
下載器模塊
“下載器模塊”該組件是一個(gè).NET庫(kù)��,用于收集有關(guān)已安裝的安全解決方案的信息,并下載另一個(gè)組件—“模塊安裝程序”�。
在最近的調(diào)查中,發(fā)現(xiàn)了一個(gè)新的“.dll下載器模塊”版本�����,該版本包含了一個(gè)更復(fù)雜的功能�����,用于識(shí)別已安裝的安全解決方案���。在之前的版本中�����,該惡意軟件使用簡(jiǎn)單的 WMI 查詢來(lái)獲取已安裝產(chǎn)品的列表。而新版本使用了一個(gè)不同的 WMI�,它收集防病毒軟件的名稱和相關(guān)的“productState”(產(chǎn)品狀態(tài))。
此外�����,該惡意軟件會(huì)將所有正在運(yùn)行的進(jìn)程名稱與嵌入的字典進(jìn)行比較����。該字典包含137個(gè)與流行安全解決方案相關(guān)的獨(dú)特進(jìn)程名稱�。僅當(dāng)系統(tǒng)上沒(méi)有運(yùn)行安全解決方案進(jìn)程時(shí)才會(huì)執(zhí)行 WMI 查詢����。
后門加載器Backdoor Loader
感染鏈最后階段是安裝 “Backdoor Loader”惡意軟件,該軟件始終通過(guò)一個(gè)合法且已簽名的應(yīng)用程序進(jìn)行側(cè)加載�����。其主要功能是將“StealerBot”植入程序加載到內(nèi)存中��。攻擊者在最近幾個(gè)月分發(fā)了該加載程序的多個(gè)變體�����,而植入程序本身則沒(méi)有發(fā)生變化��。
在之前的攻擊活動(dòng)中�����,“Backdoor Loader”庫(kù)被設(shè)計(jì)為由兩個(gè)特定程序加載��。為了正確執(zhí)行��,它必須以以下名稱之一存儲(chǔ)在受害者的系統(tǒng)中:
在最近的攻擊活動(dòng)中,攻擊者試圖使樣本多樣化�,生成了許多其他變體,并以以下名稱分發(fā):
新的惡意軟件變體采用了增強(qiáng)版的反分析代碼����,并更廣泛地采用控制流平坦化來(lái)逃避檢測(cè)。
結(jié)論
SideWinder 是一個(gè)非?�;钴S且持久的威脅者��,他不斷發(fā)展和改進(jìn)其工具包��,領(lǐng)先于安全軟件檢測(cè)�����?����?ò退够茰y(cè)他們不斷監(jiān)控安全解決方案對(duì)其工具集的檢測(cè)��。一旦他們的工具被識(shí)別����,他們就會(huì)通過(guò)生成新的修改版惡意軟件來(lái)做出響應(yīng),通常在五小時(shí)內(nèi)完成�����。如果發(fā)生行為檢測(cè)����,SideWinder 會(huì)嘗試更改用于維持持久性和加載組件的技術(shù)。此外���,他們還會(huì)更改惡意文件的名稱和路徑來(lái)逃避防御�。其基本感染方法是利用舊的 Microsoft Office 漏洞(CVE-2017-11882)�����,這強(qiáng)調(diào)了安裝安全補(bǔ)丁的重要性�����。
為了防范此類攻擊�����,強(qiáng)烈建議維護(hù)補(bǔ)丁管理流程以應(yīng)用安全修復(fù)程序,并使用提供事件檢測(cè)與響應(yīng)以及威脅狩獵功能的全面安全解決方案��。本文描述的攻擊活動(dòng)依賴魚叉式網(wǎng)絡(luò)釣魚郵件作為初始攻擊媒介�����,這凸顯了定期開(kāi)展員工培訓(xùn)和安全意識(shí)項(xiàng)目對(duì)保障企業(yè)安全的重要性�����。
引用鏈接
[1]https://securelist.com/sidewinder-apt-updates-its-toolset-and-targets-nuclear-sector/115847/
[2]https://securelist.com/sidewinder-apt/114089/
