首頁 > 關(guān)于我們 > 安恒動態(tài) > 2019 > 正文

響尾蛇（SideWinder）在“克什米爾危機”之后針對中國進行攻擊

閱讀量：次

概要

近日安恒信息獲取到一批定向攻擊的APT樣本，經(jīng)過關(guān)聯(lián)分析發(fā)現(xiàn)這批樣本與具有印度背景的境外APT組織響尾蛇（SideWinder）有關(guān)。該樣本使用“保利國防科技研究中心“內(nèi)容投遞遠控木馬，是一起針對我國的APT攻擊活動。

背景

本次發(fā)現(xiàn)的響尾蛇APT組織樣本投放時間為7月中旬之后，此時間段內(nèi)中印由于“克什米爾危機“等事件帶來的國界劃分影響，關(guān)系再次開始緊張。我們結(jié)合該組織的印度背景，可以確定在“克什米爾危機“前后，該組織針對我國發(fā)起可能帶有政治意圖的攻擊活動。

本次攻擊誘餌文檔使用保利集團相關(guān)內(nèi)容，保利集團是國務(wù)院國有資產(chǎn)監(jiān)督管理委員會監(jiān)管的大型國有中央企業(yè)，主要經(jīng)營通用商品和特種裝備及技術(shù)的進出口業(yè)務(wù)，先后引進了包括黑鷹直升機，瑞士防空系統(tǒng)等產(chǎn)品，并且出口了大量的防務(wù)裝備。

此樣本生成時間在2019年9月12日，中國和印度軍隊曾在2019年9月11日左右于靠近班公錯北岸的實際控制線一帶發(fā)生對峙。

樣本分析

樣本感染流程：

1、誘餌文檔使用CVE-2017-11882執(zhí)行釋放到%temp%路徑下1.a腳本；

2、1.a腳本拷貝白文件write.exe和惡意的PROPSYS.dll，以及加密后的惡意程序主體到“C:\ProgramData\AuthyFiles“路徑并設(shè)置“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”自啟動注冊表項；

3、write.exe是win7系統(tǒng)白文件，啟動后會加載PROPSYS.dll惡意DLL，此DLL會解密同目錄下“.tmp“結(jié)尾的文件，解密后是木馬本體，開始執(zhí)行木馬本體。