SideWinder組織針對巴基斯坦海軍的攻擊活動

前情提要

   SideWinder又名RattleSnake、響尾蛇，是一個具有印度政府背景的APT組織，其主要目的是對南亞的多個國家進行間諜活動以滿足印度政府的利益。主要攻擊的行業為南亞國家的國防和政府部門。近期，Sidewinder 發起了針對巴基斯坦海軍招募中心的攻擊活動，通過魚叉式網絡釣魚郵件投遞惡意附件，使用了與以往活動稍有不同的DLL側加載技術，利用合法的control.exe 可執行文件加載一個惡意的 DLL，最終在受害者主機中植入 SideWinder 在過往攻擊活動中使用的 RAT 以完成命令執行和數據外滲。

具體內容

   攻擊活動中的誘餌文檔樣本的上傳地址位于巴基斯坦旁遮普省的拉瓦爾品第（Rawalpindi），也是巴基斯坦海軍招募中心的所在地。誘餌文檔的主題也與巴基斯坦海軍相關，文檔內容要求支付巴基斯坦海軍的阿茲瑪特號與德哈特號上艦載雷達的維修費用，這表明本次 SideWinder 的攻擊目標很可能是這個巴基斯坦海軍招募中心，誘餌文檔如下圖：

   一旦受害者打開誘餌文檔并點擊“Enable the Content”，該惡意文檔將嘗試使用模板注入的方法，從一個 URL 地址中下載一個投遞器，下載得到的 RTF 文件利用 CVE-2017-11882 漏洞，可以在其嵌入的第一個對象上啟動 mshta.exe 工具以執行 hta 文件。htm 文件 1.a 由一個 Javascript 片段組成，作為下一階段的 dropper。JS 片段使用一種基于字符操作和移位的自定義算法進行混淆。C# 加載的庫是另一個投遞器，其主要目的為從一個 URL 下載和調用一個新的.NET 庫。

   在感染中期階段，攻擊者利用新下載的 DLL 來收集受害者系統的信息，在環境中實現持久化，并對 AV/EDR等安全產品進行規避。最終的加載器是名為 propsys.dll 的 DLL，以加密的方式包含在 oihg1qyj.k3k 中。用于解密該文件的程序由于多年來一直被 SideWinder APT 使用，因此早已在社區中公開。該加載器最終會植入一個 SideWinder 曾使用的遠控工具（RAT）。該工具可以執行命令并滲出文件和系統信息。RAT 會與 C2 服務器進行通信。C2 的 URL 以加密的形式存儲在 Default 資源。用于加解密該 URL 的算法和解密最終加載器的算法相同。

總結

   隨著地緣政治局勢的加劇或者緊張，亦或是位于特定區域的特定團體在政治，經濟或軍事的利益增長，可以觀察到以信息收集為目的的網絡攻擊行動的指數會隨之增長。印巴兩國的地緣政治問題由來已久，本文所描述的這次 SideWinder APT 攻擊正是以印巴地區當前的緊張局勢為背景展開的新一輪情報收集活動。