卡巴斯基的研究人员警告称，APT组织SideWinder（又名Razor Tiger、Rattlesnake和T-APT-04）正针对南亚、东南亚、中东和非洲的海事、物流、核能、电信和IT行业发起攻击。该组织自至少2012年以来一直活跃，主要目标是中亚国家的警察、军队、海事和海军部队。在2022年的攻击中，该组织还瞄准了外交部、科研和国防机构、航空业、IT行业以及律师事务所等部门。

攻击范围与基础设施

SideWinder的C2基础设施庞大，由超过400个域名和子域名组成，用于托管恶意载荷并对其进行控制。卡巴斯基观察到，该组织在2024年扩大了攻击范围，尤其在埃及、亚洲和非洲的活动有所增加。部分攻击明显针对南亚的核电站和核能设施，并逐渐向新的非洲国家扩展其活动。

快速适应与恶意软件演变

SideWinder能够迅速适应安全检测，在数小时内修改恶意软件，调整战术、技术和程序。研究报告中提到：“一旦他们的工具被识别，他们会在5小时内生成一个新的修改版恶意软件。如果行为检测发生，SideWinder会尝试改变技术以维持持久性和加载组件。此外，他们还会更改恶意文件的名称和路径。因此，对该组织活动的监控和检测就像一场乒乓球比赛。”

2024年的感染模式与之前的描述一致。攻击者通过发送带有DOCX附件的鱼叉式钓鱼邮件发起攻击。文档加载存储在攻击者控制的远程服务器上的RTF模板文件，利用微软Office内存损坏漏洞（CVE-2017-11882）运行恶意shellcode，并启动多层次感染过程。攻击链的最终阶段是一个名为“Backdoor Loader”的恶意软件，加载一个名为“StealerBot”的定制后开发工具包。

报告中还提到：“在调查中，我们发现了新的C++版本的‘Backdoor Loader’组件。其逻辑与.NET版本相同，但C++版本缺少反分析技术。此外，大多数样本都是为特定目标定制的，因为它们被配置为从嵌入代码的特定文件路径加载第二阶段，其中还包括用户的名称。这表明这些变体可能是在感染阶段后使用的，并由攻击者在已攻破的基础设施中手动部署，以验证受害者。”

攻击手法与防护建议

大多数被检测到的诱饵文档涉及政府和外交事务，但也有部分涉及租车、房地产和自由职业等通用主题。报告总结道：“SideWinder是一个非常活跃且持续演进的威胁组织，不断改进其工具集。其基本感染方法是利用旧的微软Office漏洞CVE-2017-11882，这再次强调了安装安全补丁的重要性。尽管使用了旧的漏洞利用手段，我们不应低估这一威胁组织。事实上，SideWinder已经展示了其针对关键资产和重要实体（包括军事和政府机构）的入侵能力。”

参考来源：

SideWinder APT targets maritime and nuclear sectors with enhanced toolset