被称为 SideWinder 的民族国家威胁行为者被归咎于针对印度洋和地中海港口和海上设施的新网络间谍活动。发现这一活动的黑莓研究和情报团队表示,鱼叉式网络钓鱼活动的目标包括巴基斯坦、埃及、斯里兰卡、孟加拉国、缅甸、尼泊尔和马尔代夫等国家。SideWinder,也被称为 APT-C-17、Baby Elephant、Hardcore Nationalist、Rattlesnake 和 Razor Tiger,被评估为与印度有关联。它自 2012 年以来一直在运营,经常利用鱼叉式网络钓鱼作为载体来提供触发攻击链的恶意有效载荷。这家加拿大网络安全公司在上周发表的一份分析报告中表示:“SideWinder利用电子邮件鱼叉式网络钓鱼、文档利用和DLL侧载技术,试图避免检测并提供有针对性的植入物。最新的一组攻击采用与性骚扰、员工解雇和减薪相关的诱饵,以对接收者的情绪状态产生负面影响,并诱使他们打开诱杀装置 Microsoft Word 文档。一旦诱饵文件被打开,它就会利用一个已知的安全漏洞(CVE-2017-0199)与一个伪装成巴基斯坦港口和航运总局的恶意域建立联系(“reports.dgps-govtpk[.]com“) 检索 RTF 文件。反过来,RTF 文档下载了一个利用 CVE-2017-11882 的文档,CVE-2017-11882 是 Microsoft Office 公式编辑器中另一个已有数年历史的安全漏洞,目的是执行负责启动 JavaScript 代码的 shellcode,但前提是确保受感染的系统是合法的并且威胁参与者感兴趣。目前尚不清楚JavaScript恶意软件提供了什么,尽管最终目标可能是根据SideWinder先前发起的活动收集情报。“SideWinder威胁行为者继续改善其基础设施,以针对新地区的受害者,”黑莓表示。“其网络基础设施和交付有效载荷的稳步发展表明,在可预见的未来,SideWinder将继续其攻击。”
