HackerNews 编译,转载请注明出处:
斯里兰卡、孟加拉国与巴基斯坦的高级别政府机构近期成为APT组织SideWinder新一轮攻击的重点目标。
研究人员发现,攻击者采用鱼叉式钓鱼邮件结合地理围栏技术,确保仅特定国家的目标会收到恶意载荷。攻击链通过诱饵文档激活感染流程,最终部署名为StealerBot的恶意软件,该作案手法与此前披露的SideWinder活动特征一致。
此次攻击瞄准南亚多国关键部门,包括孟加拉国电信监管委员会、国防部与财政部,巴基斯坦本土技术发展局,以及斯里兰卡外债管理局、国防部与中央银行。攻击者利用微软Office中历史悠久的远程代码执行漏洞(CVE-2017-0199与CVE-2017-11882)作为初始攻击媒介,部署具备持久化访问能力的恶意程序。
恶意文档被打开时触发CVE-2017-0199漏洞,通过DLL侧载技术释放后续载荷安装StealerBot。攻击者采用地理围栏技术增强隐蔽性:若受害者IP地址不符合预设国家范围,系统仅返回空白RTF文件作为诱饵。实际恶意RTF文件利用公式编辑器漏洞CVE-2017-11882触发内存破坏,执行基于shellcode的加载器运行StealerBot。
StealerBot是基于.NET开发的模块化植入程序,能够投放额外恶意组件、启动反向shell,并从受控主机窃取屏幕截图、键盘记录、密码、文件等敏感数据。分析指出,该组织展现出持续的活跃度与精准控制能力——恶意载荷仅在限定时间内分发给经过严格筛选的目标,反映出其组织架构的延续性与攻击意图的持久性。
攻击活动中,SideWinder延续了其标志性战术:频繁更新工具集以规避安全检测,通常在安全解决方案识别其工具后5小时内生成新变种。若遭遇行为检测,则迅速调整持久化维持与组件加载技术,并修改恶意文件路径及名称。尽管主要依赖旧版Office漏洞实施攻击,但其对目标选择的高度精准性与攻击流程的严密控制,仍使其成为南亚地区最具威胁的APT组织之一。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
