概述
我中心技术支撑单位 “微步在线” 近期监测并捕获到一起关于“响尾蛇”APT组织(SideWinder)的攻击活动。该组织是一支疑似具有南亚政府背景的黑客组织,最早活跃可追溯到2012年。其攻击目标主要为中国、巴基斯坦、孟加拉国等国家的军工、外交、科研高校等相关敏感单位。- 攻击者通过钓鱼邮件向我国某高校发起网络攻击,通过在邮件中附带恶意附件执行恶意代码,并且攻击者在打包压缩包过程中遗留了打包文件,通过打包文件可以关联出一批同属于该组织的其他攻击样本。
- 除了针对我国的攻击外,攻击者还利用模板注入的方式投递恶意文档,向巴基斯坦政府、军队等单位发起攻击,根据该组织以往的攻击活动判断,后续会下载攻击者的下载器木马执行后续攻击。
微步通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 等均已支持对此次攻击事件和团伙的检测。
详细分析
2.1 针对中国的攻击活动
攻击者利用“某学院关于11月22日起工作安排调整的通知”为话题,向目标用户“ggky@********.edu.cn”发送钓鱼邮件,并在钓鱼邮件中附带附件名为“未命名的附件 00002.zip”的恶意附件,并且攻击者在发件邮箱的域名上,也使用了仿冒中国某互联网厂商的域名“*******.co”。具体邮件截图如下:攻击者所发送邮件内的附件由三个文件组成,“~notification01.tmp”、“~notification02.tmp”、“公管学院关于11月22日起工作安排调整的通知.docx.lnk”,两个.tmp文件暂不清楚具体功能,但是在响尾蛇组织的以往攻击活动中也都有此类文件,猜测为打包生成时遗留下的文件。恶意代码都在仿冒.docx文件的.lnk文件中,攻击者通过Windows系统下自带的mshta.exe连接执行远程C2地址“*********.sinacn.co/3679/1/55554/2/0/0/0/m/files-94c98cfb/hta”的恶意.hta文件,截至分析时,该C2地址已经失效。在针对巴基斯坦的攻击活动中,攻击者利用“巴基斯坦洪水概况”为话题,仿冒为伊斯兰堡官方人员,向目标用户投递恶意文档。图 3 诱饵文档
在恶意文档中,攻击者利用模板注入的方法执行远程恶意代码,在用户运行文档后,会从攻击者的C2地址“mailmofa.alit.info/3617/1/36884/2/0/0/0/m/files-c208dc5f/file”下载远程模板并执行。除此之外,还有该组织以“2023年巴基斯坦海军学院”相关的话题为诱饵,向巴基斯坦发起攻击,攻击方式上依然为使用模板注入的恶意文档,文档内容截图如下:文档内依然附带有远程模板地址,运行后则会从攻击者的C2地址:“pnwc.bol-north.com/5808/1/3686/2/0/0/0/m/files-a2e589d2/file.rtf”下载并执行后续攻击载荷,根据以往响尾蛇组织的攻击活动,后续下载的.rtf文件多为使用CVE-2017-11882漏洞执行代码从C2地址下载并执行攻击者的下载器木马。
关联分析
响尾蛇组织在对外发起攻击的过程中,在投递阶段常使用模板注入、CVE-2017-11882漏洞下载执行后续攻击载荷。本次捕获的样本,从攻击手法、资产特点等都与响尾蛇组织以往的攻击高度相似。
除此外,攻击者所使用URL路径也与以往的响尾蛇攻击高度相似,例如在某次针对我国的攻击中,攻击者使用的路径为“/2557/1/51442/3/1/1/1835115357/files-0efe466b/ 0/”,而本次捕获的样本中使用的路径为“/5808/1/3686/2/0/0/0/m/files-a2e589d2/file.rtf”,响尾蛇在已披露的攻击活动中,已多次使用此类的URL路径。响尾蛇组织在以往已经多次尝试使用携带有恶意附件的邮件对目标发起攻击,且恶意附件内通常含有尝试伪装为文档类型的.lnk文件,.lnk文件通过系统自带的mshta.exe远程执行C2服务器中的恶意代码。除此外,攻击者还常在打包时留下“~notification01.tmp”文件,与以往响尾蛇的攻击活动相吻合。在此基础上,我们发现了一批响尾蛇组织的其他攻击活动,攻击者使用相同的手法,利用钓鱼邮件发送恶意附件,并在恶意附件内携带有伪装为其他文档类的.lnk文件,并通过.lnk文件与C2服务器建立通信,并且在.lnk文件的指向上也有所改进,通过大量的空白符号来迷惑用户。
图 8 响尾蛇组织的其他样本