响尾蛇APT组织持续攻击我国和巴基斯坦实体组织

The Hacker News 网站披露,网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于我国和巴基斯坦境内的实体组织。

十载的浚县网站建设经验,针对设计、前端、开发、售后、文案、推广等六对一服务,响应快,48小时及时工作处理。营销型网站建设的优势是能够根据用户设备显示端的尺寸不同,自动调整浚县建站的显示方式,使网站能够适用不同显示终端,在浏览器中调整网站的宽度,无论在任何一种浏览器上浏览网站,都能展现优雅布局与设计,从而大程度地提升浏览体验。创新互联从事“浚县网站设计”,“浚县网站推广”以来,每个客户项目都认真落实执行。

APT 组织 SideWinder 至少从 2012 年起就开始活跃,其攻击链主要利用鱼叉式网络钓鱼作为入侵机制,在受害目标的网络环境中“站稳脚跟”,从其以往的攻击目标来看, 受攻击最频繁的国家包括巴基斯坦、中国、斯里兰卡、阿富汗、孟加拉国、缅甸、菲律宾、卡塔尔和新加坡等。

SideWinder 频频攻击中国和巴基斯坦的实体组织

网络安全公司 Group IB 和 Bridewell 在与 TheHackerNews 分享的一份联合报告中指出,SideWinder 团伙在攻击过程中利用由 55 个域名和 IP 地址组成的虚假网络。研究人员 Nikita Rostovtsev、Joshua Penny和Yashraj Solaki 进一步表示已确定的钓鱼网域模仿了新闻、政府、电信和金融部门等各种组织。

2023 年 2 月初,Group-IB 揭示了 SideWinder 在 2021 年 6 月至 11 月期间可能针对亚洲各地的 61 个政府、军队、执法部门和其它组织的证据。

近期,研究人员观察到 SideWinder 在针对巴基斯坦政府组织的规避攻击中,使用了一种名为基于服务器的多态性技术。 新发现的域名模仿了巴基斯坦、中国和印度的政府组织,其特点是在 WHOIS 记录中使用相同的值和类似的注册信息。

在这些域名中,有些是以政府为主题的诱饵文件,这些文件中大部分于 2023 年 3 月从巴基斯坦上传到VirusTotal。其中一个是据称来自巴基斯坦海军战争学院(PNWC)的 Word 文件,最近几个月被 QiAnXin 和 BlackBerry 分析过。

值得一提的是,研究人员还发现了一个 Windows 快捷方式(LNK)文件,该文件于 2022 年 11 月下旬从北京上传到 VirusTotal。就 LNK 文件而言,它被设计成运行一个从远程服务器上检索到的 HTML 应用程序(HTA)文件,该服务器欺骗了清华大学的电子邮件系统(mailtsinghua.sinacn[.]co)。另一个大约在同一时间从加德满都上传到 VirusTotal 的 LNK 文件,从伪装成尼泊尔政府网站的域(mailv.mofs gov[.]org)中获取了 HTA 文件。

研究人员在对 SideWinder 进一步调查后,发现了一个恶意的 Android APK 文件(226617),该文件于2023 年 3 月从斯里兰卡上传到 VirusTotal。

这个流氓安卓应用程序冒充“Ludo Game”,并提示用户授予其访问联系人、位置、电话日志、短信和日历的权限,有效地发挥了间谍软件的功能,获取用户的敏感信息。Group-IB 表示,流氓安卓应用程序还与其在 2022 年 6 月披露的假冒安全 VPN 应用程序有相似之处,后者是通过一个名为 AntiBot 的流量指示系统(TDS)向巴基斯坦的受害目标分发。

总的来说,这些域名表明 SideWinder 已经将目光投向了巴基斯坦和中国的金融、政府和执法机构,以及专门从事电子商务和大众传媒的公司。

最后,研究人员强调像许多其它 APT 组织一样,SideWinder 依靠有针对性的鱼叉式网络钓鱼作为初始载体。因此对于实体组织来说,部署能够引爆恶意内容的商业电子邮件保护解决方案至关重要。

文章来源:https://thehackernews.com/2023/05/state-sponsored-sidewinder-hacker.html

分享标题:响尾蛇APT组织持续攻击我国和巴基斯坦实体组织
新闻来源:http://www.shufengxianlan.com/qtweb/news36/7986.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联