SideWinder APT攻击基础设施分析 媒体
印度国家赞助的威胁行动
重点提取
SideWinder的攻击基础设施拥有55个钓鱼域名和IP地址,冒充政府、新闻媒体、金融和电信行业的组织。最常见的目标国家包括中国、巴基斯坦、阿富汗、斯里兰卡、孟加拉、 Singapore、缅甸、卡塔尔和菲律宾。SideWinder使用伪装成中国、巴基斯坦和印度政府机构的域名来部署后续的有效载荷。此外,SideWinder还利用伪装为尼泊尔政府网站的HTML应用程序的LNK文件,以及冒充Ludo游戏的恶意Android APK文件。最近,有关于SideWinder的报告表明,这个疑似印度国家赞助的APT高级持续威胁小组已建立了庞大的攻击基础设施。研究指出,SideWinder的域名和IP地址有55个,这些域名假冒了政府、新闻媒体、金融与电信等领域的组织。根据《骇客新闻》的调查,SideWinder最常见的攻击目标包括中国、巴基斯坦、阿富汗、斯里兰卡、孟加拉、 Singapore、缅甸、卡塔尔和菲律宾。
透过与GroupIB和Bridewell的联合报告,发现SideWinder使用伪装成中国、巴基斯坦及印度政府机构的域名来部署其下一阶段的恶意载荷。此外,它还使用了LNK文件,这些文件便于部署假冒尼泊尔政府网站和清华大学电子邮件系统的HTML应用程序。值得注意的是,这个行动还利用一个伪装成Ludo游戏的恶意Android APK文件来获取设备访问权限,并充当间谍软件。
“和许多其他APT团体一样,SideWinder依赖针对性的鱼叉式网络钓鱼作为初始入侵通道。因此,对于组织来说,部署商业电子邮件保护解决方案以引爆恶意内容是非常重要的,”研究人员指出。
轻蜂加速器使用方法行业/领域假冒组织政府中国、巴基斯坦、印度新闻媒体金融电信要保护组织的安全,对于恶意攻击的预防措施与及时的安全防护非常重要。
