首页 > 安全 > 正文

自2020年4月以来,Sidewinder进行了1,000多次袭击

最后更新 :2022.05.31

卡巴斯基报道

Kaspersky的研究人员分析了追踪为Siendwinder(又名Rattlesnake Rattlesnake的侵略性威胁演员的活动),据信,Sidewinder是一个积极的公寓小组。和T-APT-04)。该小组在其攻击的高频和持久性方面脱颖而出,研究人员认为,自2020年4月以来,APT集团已进行了1,000多次攻击。

自2012年以来,Sidewinder一直活跃起来,该小组主要针对性警察。,军事,海事和中亚国家的海军。在最近的攻击中,威胁行为者还针对外交事务,科学和国防组织,航空,IT行业和法律公司的部门。

威胁行为者维持一个由400多个领域和子域组成的大型C2基础设施被用来托管恶意有效载荷并控制它们。

第一阶段域用于托管第一阶段的恶意软件,该恶意软件通过矛式示威消息加快,通过第一阶段恶意软件接收收集的信息,并托管第二阶段有效载荷。

专家观察到了一些新注册的域可能被用来扩大其他国家 /地区的目标列表。

使用各种感染向量和高级攻击技术,该威胁参与者具有相对较高的复杂水平。这些技术包括多个混淆例程,每个恶意文件的唯一键,多层恶意软件,内存驻留的恶意软件以及将基础架构划分为不同的恶意软件组件。国家卡巴斯基。

该小组采用了多种技术来逃避检测,包括多种混淆技术,为每个恶意软件样本,多层恶意软件菌株,内存居住的恶意有效载荷和将恶意URL分散到diff diff diff diff

下面是多层攻击链,最终有效载荷是一个后门,允许攻击者接管受感染的系统。SideWinder

专家还详细介绍了攻击最后阶段中使用的命令和控制域。这些域的C2通信使用的URL分为两个部分:

安装程序模块包含URL的第一部分,该URL是C2服务器域名以加密形式的C2服务器域名。在第二个URL的下半部分配在第二部分。
下面是卡巴斯基研究员Noushin Shabab

在Blackhat Asia 2022: 下载幻灯片

最佳欧洲网络安全博客作者颁奖典礼的决赛入围者之一 - 投票给您的获奖者。我请您再次为我投票(即使您已经做过),因为这次投票是为决赛投票。

请投票给SEC包括它们在内的每个类别(例如,“弱者 - 最佳个人(非商业)安全博客”和“ The Tech Whiz - 最佳技术博客”)

] 提名,请访问: https://docs.google.com/forms/forms/d/d/e/1faipqlsdndzjvtomsq36ykihqwwhmekihqwwhmaqwwhma90sr0sr0sr0sr0sr0sr0e9rlndflz3cu_gvi_gvi_gvi23cu_gvi2 cuviw/rformt Infford []

- END -

看更多