神秘的 APT 组织 SideWinder" 响尾蛇 " 近日再度出现活跃迹象。腾讯御见威胁情报中心率先捕获该 APT 组织最新攻击样本，并首家披露 " 响尾蛇 " 最新攻击行动：主要针对南亚诸国进行定向攻击，目的或在于窃取大型组织机构、企业等目标用户的机密信息。

( " 响尾蛇 " APT 组织攻击形势 )

目前，腾讯御界高级威胁检测系统已可检测并阻断该轮攻击的连接行为。腾讯企业安全技术专家提醒广大企业用户，不要随意打开来历不明的文档，推荐使用腾讯御界高级威胁检测系统检测未知威胁，及时阻断此类 APT 攻击。

" 响尾蛇 "APT 组织又名 T-APT-04，疑似来自印度，其最早活跃时间可追溯到 2012 年，主要针对巴基斯坦等南亚国家的军事目标进行定向攻击。

从本次捕获的最新攻击样本来看，诱饵文档关键字包括 "Government of Pakistan Economic Affairs Division" ( 巴基斯坦政府经济事务部 ) 、"2018 bilateral training programme plan for pakistan in china" ( 2018 巴基斯坦双边培训计划 ) 等，可以推测该轮攻击为针对南亚诸国的定向攻击。

( " 响尾蛇 " APT 组织攻击诱饵文档 )

腾讯御见威胁情报中心分析发现，" 响尾蛇 " APT 组织主要通过释放诱饵文档触发 CVE-2017-11882 漏洞进行传播。漏洞触发后，会释放出 cmpbk32.dll 和 cliconfig32.exe 等木马文件并运行，记录中招电脑的键盘记录和鼠标轨迹，造成目标电脑的机密信息泄露。

( " 响尾蛇 " APT 组织攻击流程图 )

能够检测并率先阻断 " 响尾蛇 " APT 组织攻击的连接行为，关键在于御界高级威胁检测系统，凭借基于行为的防护和智能模型两大核心能力，可高效检测未知威胁，并通过对企业内外网边界处网络流量的分析，及时感知漏洞的利用和攻击。

( 御界 APT 威胁检测系统的日志呈现 )

腾讯企业安全技术专家提醒广大企业用户，切勿随意打开来历不明的文档，同时安装安全软件加强防御。建议部署御界高级威胁检测系统，可及时感知恶意流量，检测钓鱼网址和远控服务器地址在企业网络中的访问情况，有效保护企业的网络信息安全。