意昂体育-科技赋能场景,让娱乐更有趣!

连忙拨打95015

首页 > 企业动态 > 公司新闻 > 起底国家级APT组织：响尾蛇（APT-Q-39）

起底国家级APT组织：响尾蛇（APT-Q-39）

时间：2021-11-05 作者：虎符智库

分享到：

起底国家级APT组织：响尾蛇（APT-Q-39）

本文3758字阅读约需11分钟

国家级APT（AdvancedPersistentThreat，，，，，，高级一连性威胁）组织是有国家配景支持的顶尖黑客团伙，，，，，，专注于针对特定目的举行恒久的一连性网络攻击。。。。。。。

意昂体育-科技赋能场景,让娱乐更有趣!旗下的高级威胁研究团队红雨滴（RedDripTeam）每年会宣布全球APT年报【1】、中报，，，，，，对昔时各大APT团伙的运动举行剖析总结。。。。。。。

虎符智库特约意昂体育-科技赋能场景,让娱乐更有趣!旗下红雨滴团队，，，，，，开设“起底国家级APT组织”栏目，，，，，，逐个起底全球各地区活跃的主要APT组织。。。。。。。本次锁定是南亚地区另一个终年活跃的国家级黑客团伙：响尾蛇（Sidewinder）。。。。。。。

06

响尾蛇

响尾蛇是据称有南亚配景的APT组织，，，，，，2012年至今一直处于活跃状态。。。。。。。

响尾蛇组织主要针对巴基斯坦、中国、阿富汗、尼泊尔、孟加拉等国家睁开攻击，，，，，，旨在窃取政府外交机构、国防军事部分、高等教育机构等领域的神秘信息。。。。。。。意昂体育-科技赋能场景,让娱乐更有趣!内部跟踪编号为APT-Q-39

起底国家级APT组织：响尾蛇（APT-Q-39）

配景

响尾蛇，，，，，，又名Sidewinder，，，，，，由外洋清静厂商卡巴斯基在2018年第一季度APT趋势报告中率先披露。。。。。。。

2018年5月，，，，，，海内某清静厂商也报告了响尾蛇APT组织针对巴基斯坦等南亚国家军事目的的定向攻击运动。。。。。。。该APT组织最早攻击运动可追溯到2012年，，，，，，至今一直处于活跃状态。。。。。。。

响尾蛇APT组织主要针对巴基斯坦、中国、阿富汗、尼泊尔、孟加拉等国家睁开攻击，，，，，，以窃取政府外交机构、国防军事部分、高等教育机构等领域的神秘信息为目的，，，，，，攻击运动具有强烈的政治配景。。。。。。。

近年来，，，，，，响尾蛇APT组织常用的误差为CVE-2017-0199和CVE-2017-11882。。。。。。。但在历史攻击运动中，，，，，，也使用过其他误差，，，，，，好比针对Android平台的恶意软件获取root权限时使用了CVE-2019-2215，，，，，，以及在一次对我国某高校的定向攻击中使用了浏览器误差CVE-2020-0674。。。。。。。这两个误差在其使用的时间皆属于已果真披露的误差，，，，，，并且从其相关的使用代码来看，，，，，，保存该组织依托于网络军器商的可能。。。。。。。

攻击手段与工具

响尾蛇APT组织常通过垂纶网站窃取攻击目的机构相关职员的登录凭证，，，，，，并通过鱼叉邮件投递LNK快捷方法文件或者携带误差的恶意文档。。。。。。。

这些恶意文件则通过执行包括js代码的hta文件或者js剧本反射加载C#�？？？？？？椋�，，，，，然后在受害者机械上释放木马程序，，，，，，木马程序通常为恶意dll文件，，，，，，使用对系统中正常exe文件的dll侧加载手艺（即“白加黑”）启动运行。。。。。。。

（一）攻击手段

1.垂纶网站

响尾蛇（Sidewinder）托管垂纶网页的效劳器域名会模拟攻击目的网站的域名，，，，，，好比垂纶域名“mail-nepalgovnp[.]duckdns[.]org”用来伪装为尼泊尔政府使用的域名“mail[.]nepal[.]gov[.]np”。。。。。。。垂纶网页从攻击目的的邮件网站复制而来，，，，，，经由一定的修改后用来窃取目的机构相关职员的邮箱登录凭证。。。。。。。

这些垂纶网页在受害者发送登录凭证后大大都都会重定向到原始的邮件网站，，，，，，尚有一部分会重定向为显示文档或者新闻网页，，，，，，文档与新闻的内容一样平常与COVID-19疫情和南亚地区的领土争端有关。。。。。。。

2.鱼叉攻击

通过鱼叉邮件投递恶意文档是响尾蛇（Sidewinder）组织最常用的攻击手段，，，，，，这些作为诱饵的恶意文档常见的有如下几种类型：

(1)LNK文件

LNK文件的目的程序路径被指定为用mshta.exe远程加载运行hta文件，，，，，，进而释放诱饵文档和完成后续的恶意软件植入操作。。。。。。。

(2)携带误差的Office文档，，，，，，频仍使用误差CVE-2017-11882和CVE-2017-0199。。。。。。。

在响尾蛇组织制作的恶意Office文档中，，，，，，一类是使用CVE-2017-11882误差执行自身释放的或者远程下载的hta文件或js剧本，，，，，，从而完成后续的恶意软件植入操作；；；；；；；另一类则是使用CVE-2017-0199误差远程加载携带CVE-2017-11882误差的文档。。。。。。。

（二）使用工具及手艺特征

响尾蛇组织具有Windows和Android双平台攻击能力。。。。。。。在Windows平台的攻击手法较量牢靠，，，，，，以LNK文件或者误差文档为攻击入口，，，，，，通过执行包括js代码的hta文件或js剧本反射加载C#dll文件，，，，，，最后借由该dll文件植入木马程序组件。。。。。。。

响尾蛇组织的攻击流程整体基本稳固，，，，，，但为了对抗研究职员的发明披露和清静软件的检测查杀，，，，，，近年来该组织也升级了攻击手法，，，，，，好比：

（1）后续的木马程序组件不再直接在外地释放，，，，，，而是从远程效劳器下载，，，，，，使得该组织在攻击历程中实时关停效劳器，，，，，，降低代码袒露的危害；；；；；；；

（2）提高了代码混淆度，，，，，，好比作为中心组件的js代码通过引入自界说的Base64编码举行混淆，，，，，，C#组件中函数挪用由直接引用系统API变为用自界说繁杂的函数名封装所需挪用的API。。。。。。。

（3）响尾蛇组织针对Android平台的恶意软件通过误差使用获取root权限或者诱骗受害者授权以装置木马程序callCam。。。。。。。木马程序网络装备参数、位置、文件、账户、社交软件数据等敏感信息并以加密形式上传到C&C效劳器。。。。。。。

著名攻击事务

（一）响尾蛇（Sidewinder）首次曝光

2018年4月，，，，，，卡巴斯基2018年第一季度APT趋势报告提到了名为“Sidewinder”的APT组织【2】，，，，，，该组织攻击目的为巴基斯坦的军事部分，，，，，，最早可追溯至2012年。。。。。。。

2018年5月23日，，，，，，海内某清静厂商宣布报告披露了响尾蛇组织针对南亚攻击运动的细节【3】：使用CVE-2017-11882误差远程加载并执行hta文件，，，，，，文件中的剧本挪用powershell下令释放其中生涯的木马程序。。。。。。。

（二）2019年针对我国的多次定向攻击

2019年7月，，，，，，海内某清静厂商发明响尾蛇组织针对我国的定向攻击事务。。。。。。。在此次攻击事务中，，，，，，响尾蛇以我国国防部国际相助部分发送的通知文件为诱饵，，，，，，向他国驻华使馆职员提倡攻击【4】。。。。。。。

攻击使用的携带CVE-2017-11882误差的恶意文档为RTF名堂文件，，，，，，文件翻开后会自动释放Package工具生涯的js剧本，，，，，，误差使用后执行释放的js剧本，，，，，，剧本拷贝Windows系统中正常的exe文件，，，，，，并释放加密的木马程序数据和用于加载木马程序的恶意dll文件，，，，，，与拷贝的exe文件组成“白加黑”组合。。。。。。。

以后，，，，，，响尾蛇多次针对我国的定向攻击被披露【5、6】，，，，，，包括针对海内某国防科研企业，，，，，，向其内部发送虚伪的清静保密手册和治理文件；；；；；；；将伪装的《中国人民解放军文职职员条例》的文档投放至国家政府部分；；；；；；；针对国防及军事等相关部分，，，，，，向其发送虚伪的“第九届北京香山论坛聚会”议程。。。。。。。这些攻击事务中，，，，，，响尾蛇接纳了与攻击他国驻华使馆相同的手法。。。。。。。

（三）移动端攻击武器曝光

2020年1月，，，，，，外洋清静厂商趋势科技披露了响尾蛇组织针对Android平台的恶意软件【7】。。。。。。。

这些恶意软件在GooglePlay应用市肆中伪装为图片和文件治理器工具，，，，，，经由两个阶段的下载历程在受害者装备上植入最终的木马程序callCam。。。。。。。其中一个恶意软件通过使用CVE-2019-2215误差和MediaTek-SU获取root权限，，，，，，可以在受害者无交互的情形下静默装置木马程序，，，，，，其他恶意软件则诱骗受害者授权从而实现木马程序的装置。。。。。。。木马程序网络装备上生涯的敏感数据并加密上传到C&C效劳器。。。。。。。

（四）使用疫情信息对巴基斯坦等国的攻击运动

2020年5月，，，，，，意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心捕获到响尾蛇组织使用疫情相关信息作为诱饵的恶意LNK样本【8】，，，，，，此类样本以受害国家的军方抗击疫情战略、空军大学疫情时代网络在线课程政策等热门信息作为伪装。。。。。。。

一旦受害者执行此类恶意样本，，，，，，LNK文件将从远程效劳器下载恶意hta剧本文件执行，，，，，，恶意剧本将释放展示正常的诱饵文档以疑惑受害者，，，，，，并继续从远程获取第二阶段恶意hta剧本文件执行。。。。。。。第二阶段恶意剧本将在受害者盘算机上安排相关恶意软件，，，，，，并通过白加黑的方法加载最终的远程木马，，，，，，控制受害者机械，，，，，，从而窃取敏感信息。。。。。。。

（五）使用浏览器误差攻击我国某高校

2020年海内某清静团队披露了响尾蛇组织针对我国某高校的攻击运动【9】，，，，，，诱饵文档内容为2020年春季疫情防控事情的优异西席推荐名单。。。。。。。

在此次攻击运动中，，，，，，响尾蛇使用了与以往差别的攻击手法：

（1）首先恶意文档通过远程模板注入的方法加载携带CVE-2017-0199误差的文档；；；；；；；

（2）然后CVE-2017-0199误差文档再远程加载hta文件；；；；；；；

（3）hta文件中包括2020年头果真披露的浏览器误差CVE-2020-0674使用代码，，，，，，误差使用乐成后释放木马组件。。。。。。。

（六）对多国实验垂纶攻击

2020年12月，，，，，，外洋清静厂商趋势科技宣布报告披露了响尾蛇组织恒久对尼泊尔、阿富汗、中国等多个国家的政府、外交、国防军事机构睁开垂纶攻击运动【10】。。。。。。。

响尾蛇组织通过模拟攻击目的的域名建设托管垂纶页面的域名，，，，，，复制目的机构邮件网站的网页并制作垂纶页面，，，，，，从而窃取相关职员的邮箱登录凭证，，，，，，为后续的定向攻击运动做准备。。。。。。。

总结

自首次曝光以来，，，，，，响尾蛇（Sidewinder）组织频仍运动，，，，，，攻击目的集中在南亚多国和中国的政府、外交、军事领域，，，，，，体现了该组织攻击运动中强烈的政治念头和背后的国家实力支持。。。。。。。

多年来，，，，，，响尾蛇组织的攻击流程整体没有太大转变，，，，，，但为了对抗清静软件检测和剖析职员追踪，，，，，，该组织也在一直刷新升级攻击手法。。。。。。。

别的，，，，，，响尾蛇组织在历史攻击运动中使用的误差批注，，，，，，该组织可能与网络军器商保存关联。。。。。。。

现在，，，，，，该组织对包括我国在内的多个国家仍然组成严重威胁，，，，，，需要我们一连跟踪关注。。。。。。。

注解

https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf

https://securelist.com/apt-trends-report-q1-2018/85280/

https://s.tencent.com/research/report/479

https://www.secrss.com/articles/13390

https://ti.dbappsecurity.com.cn/blog/articles/2019/08/30/sidewinder-apt-group-attack-embassy-in-china-disclosed/

http://it.rising.com.cn/dongtai/19656.html

https://www.trendmicro.com/en_us/research/20/a/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group.html

https://ti.qianxin.com/blog/articles/the-recent-rattlesnake-apt-organized-attacks-on-neighboring-countries-and-regions/

https://bbs.pediy.com/thread-260640.htm

https://www.trendmicro.com/en_us/research/20/l/sidewinder-leverages-south-asian-territorial-issues-for-spear-ph.html

关于作者

意昂体育-科技赋能场景,让娱乐更有趣!红雨滴团队（RedDripTeam，，，，，，@RedDrip7），，，，，，依托全球领先的清静大数据能力、多维度多泉源的清静数据和专业剖析师的富厚履历，，，，，，自2015年一连发明多个包括海莲花在内的APT组织在中国境内的恒久运动，，，，，，并宣布海内首个组织层面的APT事务揭破报告，，，，，，开创了海内APT攻击类高级威胁系统化揭破的先河。。。。。。。阻止现在，，，，，，一连跟踪剖析的主要APT团伙凌驾47个，，，，，，自力发明APT组织14个，，，，，，一连宣布APT组织的跟踪报告凌驾90篇，，，，，，按期输出半年和整年全球APT运动综合性剖析报告。。。。。。。

相关产品

相关新闻

您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问可用以下方法告诉我们

将您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问

用以下方法告诉我们

联系客服提交信息网络清静效劳热线:95015

我猜您是

客户

求职者

快捷窗口

产品注册与激活

意昂体育-科技赋能场景,让娱乐更有趣!天守清静软件

顽固病毒专杀工具

旗下网站

网神

网康

手艺研究院

威胁情报中心

补天误差响应平台

NOX 清静监测

关于意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!简介

联系意昂体育-科技赋能场景,让娱乐更有趣!

收支口合规声明

95015效劳热线

微信公众号

Copyright ? 2014-2026 QIANXIN.COM All Rights Reserved 意昂体育-科技赋能场景,让娱乐更有趣! 京ICP备16020626号-8

京公网安备11000002002064号

隐私政策 | 网站地图

【网站地图】【sitemap】