首页

解决方案

城市安全 工业安全

产品与服务

安全服务 产品体系

技术与支持

FAQ 资料文档

关于我们

公司简介 荣誉资质

新闻中心

公司动态 行业资讯 媒体关注

联系我们

联系方式 招贤纳士 <
新闻详情
威胁情报速递 | APT组织SideWinder以更新的工具集瞄准海事和核能领域
2025年04月10日

SideWinder,又名 T-APT-04 或 Rattle-Snake,于 2012 年开始活动,并于 2018 年首次被卡巴斯基公开提及。多年来,该组织对南亚和东南亚的知名实体发动了攻击。其主要目标是巴基斯坦、斯里兰卡、中国和尼泊尔的军事和政府实体。


2025年3月10日,卡巴斯基披露了有关APT组织—SideWinder最新的攻击活动。该组织正在将其活动范围扩展到其典型目标之外的南亚的核电站和核能,以及非洲国家的物流公司和海事基础设施的领域。

攻击者发送带有 DOCX文件的鱼叉式网络钓鱼电子邮件。该文档使用远程模板注入技术下载存储在攻击者控制的远程服务器上的RTF文件。该文件利用 Microsoft Office 内存损坏漏洞 (CVE-2017-11882) 来运行恶意 shellcode 并启动多级感染过程,从而导致安装命名为“Backdoor Loader”的恶意软件。它充当“StealerBot”的加载器,StealerBot是SideWinder独家使用的后利用工具包。这些文件使用各种主题来欺骗受害者,使他们相信这些文件是合法的。


RTF漏洞利用


该漏洞利用文件包含一个 shellcode,自卡巴斯基之前的研究以来,攻击者已经对其进行了更新,但主要目标仍然是一样的:运行嵌入式JavaScript代码,调用mshtml.RunHTML Application函数。


在新版本中,嵌入的 JavaScript 运行Windows实用程序mshta.exe,并从远程服务器获取其他代码:


新版本的shellcode仍然使用了一些技巧来避免沙箱检测并增加分析难度,它们与过去版本略有不同:



•它通过调用GlobalMemoryStatusEx函数来确定系统中 RAM 的大小。


•它尝试加载nlssorting.dll库,如果操作成功,则终止执行。


JavaScript 加载器


RTF漏洞导致执行mshta.exe Windows实用程序,该程序被攻击者滥用,从攻击者控制的远程服务器下载恶意的HTA文件。


远程 HTA文件嵌入了一个高度混淆的 JavaScript 文件,该文件会将进一步地恶意软件“下载器模块”加载到内存中。


JavaScript 加载程序运行分为两个阶段。第一阶段开始执行时,会加载各种字符串,这些字符串最初使用替换算法进行编码并存储为变量。然后,它会检查已安装的 RAM大小,如果总大小小于 950 MB,则终止。否则,之前解码的字符串将被用于加载第二阶段。


第二阶段是另一个JavaScript文件。它会枚举 Windows%\Microsoft.NET\Framework\ 路径下的子文件夹,以查找系统上安装的 .NET Framework 版本,并利用检测到的版本值来配置环境变量COMPLUS_Version。


最后,第二阶段会解码并加载嵌入在其代码中的“下载器模块”,该模块以 base64 编码的 .NET 序列化流的形式存在。


下载器模块


“下载器模块”该组件是一个.NET库,用于收集有关已安装的安全解决方案的信息,并下载另一个组件—“模块安装程序”。


在最近的调查中,发现了一个新的“.dll下载器模块”版本,该版本包含了一个更复杂的功能,用于识别已安装的安全解决方案。在之前的版本中,该恶意软件使用简单的 WMI 查询来获取已安装产品的列表。而新版本使用了一个不同的 WMI,它收集防病毒软件的名称和相关的“productState”(产品状态)。


此外,该恶意软件会将所有正在运行的进程名称与嵌入的字典进行比较。该字典包含137个与流行安全解决方案相关的独特进程名称。仅当系统上没有运行安全解决方案进程时才会执行 WMI 查询。


后门加载器Backdoor Loader


感染链最后阶段是安装 “Backdoor Loader”恶意软件,该软件始终通过一个合法且已签名的应用程序进行侧加载。其主要功能是将“StealerBot”植入程序加载到内存中。攻击者在最近几个月分发了该加载程序的多个变体,而植入程序本身则没有发生变化。


在之前的攻击活动中,“Backdoor Loader”库被设计为由两个特定程序加载。为了正确执行,它必须以以下名称之一存储在受害者的系统中:



在最近的攻击活动中,攻击者试图使样本多样化,生成了许多其他变体,并以以下名称分发:



新的恶意软件变体采用了增强版的反分析代码,并更广泛地采用控制流平坦化来逃避检测。


结论


SideWinder 是一个非常活跃且持久的威胁者,他不断发展和改进其工具包,领先于安全软件检测。卡巴斯基推测他们不断监控安全解决方案对其工具集的检测。一旦他们的工具被识别,他们就会通过生成新的修改版恶意软件来做出响应,通常在五小时内完成。如果发生行为检测,SideWinder 会尝试更改用于维持持久性和加载组件的技术。此外,他们还会更改恶意文件的名称和路径来逃避防御。其基本感染方法是利用旧的 Microsoft Office 漏洞(CVE-2017-11882),这强调了安装安全补丁的重要性。


为了防范此类攻击,强烈建议维护补丁管理流程以应用安全修复程序,并使用提供事件检测与响应以及威胁狩猎功能的全面安全解决方案。本文描述的攻击活动依赖鱼叉式网络钓鱼邮件作为初始攻击媒介,这凸显了定期开展员工培训和安全意识项目对保障企业安全的重要性。



引用链接


[1]https://securelist.com/sidewinder-apt-updates-its-toolset-and-targets-nuclear-sector/115847/

[2]https://securelist.com/sidewinder-apt/114089/


返回