SideWinder 在攻击巴基斯坦后转向土耳其
💡
原文中文,约11700字,阅读约需28分钟。
📝
内容提要
SideWinder是APT组织,自2012年以来一直攻击巴基斯坦政府。最近,研究人员发现SideWinder使用服务器端多态技术绕过反病毒软件检测。攻击者使用诱饵文档引诱受害者,包括针对巴基斯坦政府官员和土耳其的文档。诱饵文档利用远程模板注入漏洞部署下一阶段Payload。攻击者还使用多个域名部署恶意文件。SideWinder主要攻击巴基斯坦,最近也开始针对土耳其。
🎯
关键要点
- SideWinder是一个APT组织,自2012年以来一直攻击巴基斯坦政府。
- SideWinder被认为是印度支持的组织,主要针对巴基斯坦、阿富汗、中国和尼泊尔。
- 该组织使用服务器端多态技术绕过反病毒软件的检测。
- 诱饵文档用于引诱巴基斯坦政府官员,利用远程模板注入漏洞部署恶意Payload。
- 攻击者使用多个域名来部署恶意文件,主要目标是巴基斯坦,最近也开始针对土耳其。
- 攻击者通过合法的巴基斯坦海军学院网站重定向受害者。
- 新发现的恶意软件通过钓鱼邮件传播,受害者来自土耳其。
- 下一阶段的Payload文件是一个RTF文件,仅允许巴基斯坦境内用户下载。
- SideWinder的C&C服务器通常短期有效,发现多个域名用于部署恶意文件。
- 研究人员发现新配置的服务器针对土耳其受害者投递Payload,显示土耳其成为新目标。
➡️
