麦青儿 - 2023-2-24 15:14:00
近日,瑞星威胁情报平台捕获到一起针对印度政府部门发起的APT攻击事件,通过分析发现此次事件的攻击者疑似SideCopy组织。该组织通过钓鱼邮件等方式将诱饵文档发送给受害者,利用内嵌的远控木马ReverseRAT来达到信息窃取、远程控制的目的。目前,瑞星ESM防病毒终端安全防护系统已可检测并查杀该类远控木马,广大用户可使用该产品免受病毒危害。
瑞星安全专家介绍,在此次攻击事件中,截获的诱饵文档名为Cyber Advisory 2023.docm,其伪装成安全机构提供给印度政府部门的安全研究报告,报告主题为《Android系统的威胁和预防措施》,以钓鱼邮件等方式进行传播,由于针对政府部门,又涉及到安全领域,因此极具诱惑性和隐蔽性,让人难以防范。一旦有受害者点击了该文档,就会启动其中内嵌的宏代码,下载并运行存储于远程服务器上的远控木马。
据悉,SideCopy组织疑似来自于巴基斯坦,至少从2019年就开始进行网络攻击活动,主要针对南亚国家,特别是印度和阿富汗的政府部门。由于该组织的攻击方式试图模仿SideWinder(疑似来自印度的攻击组织,中文名响尾蛇)组织,故得名SideCopy。
瑞星安全专家介绍,在此次攻击事件中,截获的诱饵文档名为Cyber Advisory 2023.docm,其伪装成安全机构提供给印度政府部门的安全研究报告,报告主题为《Android系统的威胁和预防措施》,以钓鱼邮件等方式进行传播,由于针对政府部门,又涉及到安全领域,因此极具诱惑性和隐蔽性,让人难以防范。一旦有受害者点击了该文档,就会启动其中内嵌的宏代码,下载并运行存储于远程服务器上的远控木马。
图:诱饵文档
瑞星通过分析发现,该远控木马名为ReverseRAT,疑似由巴基斯坦的攻击者开发使用,与SideCopy组织具有非常密切的关系,同时将本次攻击行动感染链与SideCopy组织过往感染链对比分析,发现相似度极大,因此判定此次攻击行动的主导者为SideCopy组织。
图:攻击流程
据悉,SideCopy组织疑似来自于巴基斯坦,至少从2019年就开始进行网络攻击活动,主要针对南亚国家,特别是印度和阿富汗的政府部门。由于该组织的攻击方式试图模仿SideWinder(疑似来自印度的攻击组织,中文名响尾蛇)组织,故得名SideCopy。
