SideWinder，也称为 Razor Tiger、Rattlesnake 与 T-APT-04，至少从 2012 年以来一直在针对巴基斯坦政府组织发动攻击。SideWinder 被认为是印度支持的 APT 组织，特别关注巴基斯坦、阿富汗、中国与尼泊尔，一直针对军事、政府与商业公司发起攻击。研究人员近日发现 SideWinder 使用了服务器端多态技术，绕过传统基于签名的反病毒软件的检测，来部署下一阶段的 Payload。

服务器端多态技术

服务器端多态技术是攻击者用于逃避反病毒程序扫描检测的一种技术。顾名思义，多态恶意软件是通过加密与混淆改变外在形态的，主要用于确保没有任何两个样本看起来相同。传统基于签名的反病毒软件很难检测此类恶意软件，尽管听起来十分炫酷，但其实这是一种自从上世纪九十年代就被攻击者使用的成熟技术。

攻击分析

从 2022 年 11 月下旬开始，SideWinder 利用服务器端多态技术部署下一阶段 Payload。诱饵文档是针对巴基斯坦政府官员创建的，通过利益相关的文档引诱受害者上钩。诱饵文档名为 BEACON JOURNAL – 2023 PAKISTAN NAVY WAR COLLEGE (PNWC)（意为：期刊指南-2023巴基斯坦海军学院）。

针对巴基斯坦的诱饵文档

2022 年 12 月初，攻击者使用的另一个诱饵文档名为 PK_P_GAA_A1_Offerred.docx。文件内容长达八页，伪装成要购买国防物品、国防服务的交易邀约与承诺书。

针对巴基斯坦的诱饵文档

诱饵文档并没有使用嵌入恶意宏代码的方式投递下一阶段的 Payload，而是利用了远程模板注入漏洞（CVE-2017-0199）。

诱饵文档 Guidelines FOR JOURNAL - 2023 PAKISTAN NAVY WAR COLLEGE (PNWC).doc 通过 hxxps[:]//pnwc[.]bol-north[.]com/5808/1/3686/2/0/0/0/m/files-a2e589d2/file[.]rtf 加载远程模板。该域名 pnwc[.]bol-north[.]com 解析的 IP 地址为 5.230.73[.]106。

下一阶段的 URL

诱饵文档 PK_P_GAA_A1_Offerred.docx 通过 hxxps[:]//paknavy-gov-pkp[.]downld[.]net/14578/1/6277/2/0/0/0/m/files-75dc2b1e/file[.]rtf 加载远程模板。该域名 paknavy-gov-pk[.]downld[.]net 解析的 IP 地址为 185.205.187[.]234。

下一阶段的 URL

攻击活跃期间，攻击者将受害者重定向到合法的巴基斯坦海军学院。目前，恶意服务器已经不再活跃。

合法巴基斯坦海军学院网站

3 月初，研究人员发现了同样通过钓鱼邮件传播的新恶意软件。该文档的特殊之处在于，受害者来自土耳其。

武器化

下一阶段的 Payload 文件 file.rtf 是一个 RTF 文件，只能由巴基斯坦境内的用户下载。该地址下载的文件名与文件类型都是相同的，但文件内容、文件大小与文件哈希都不相同。这表明使用了服务器多态技术，每次会响应不同的文件。

如果用户不在巴基斯坦境内，服务器只会返回 8 字节的 RTF 文件。而如果用户在巴基斯坦境内，服务器会返回大小在 406KB 到 414KB 之间的 RTF 文件。

file.rtf

Loader

通过 paknavy-gov-pk[.]downld[.]net 下载的 file.rtf 文件，可以从中解析出 1.a 对象以供进一步分析：

1.a 对象概览

在恶意软件执行链中，该对象保存在失陷主机的 C:\Users\user\AppData\Local\Temp\1.a 路径下。与此同时，1.a 文件是经过混淆处理的 JavaScript 代码。

反混淆字符串

base64 编码的数据可以为解码为 DLL 文件 App.dll，而 URL 则是用于与攻击者进行进一步通信：

用于进一步通信的 URL

Agent

前文提到的 base64 编码数据是一个名为 App.dll 的 DLL 文件，该文件由 .NET 开发。

为了避免基于静态签名的检测，App.dll 与其他文件都使用相同的方式进行混淆。

App.dll 文件

App.dll 文件由 JavaScript 代码启动，反序列化 .NET 二进制文件并将 URL 传递给可执行文件的 Work() 函数。该函数通过 URL 发起请求并尝试解密然后执行响应，以此检索下一阶段的 Payload 并执行它。

网络基础设施

通常来说，SideWinder 的 C&C 服务器只在短期有效。至少从 2021 年 1 月开始，部署 RTF 文件的服务器对于非巴基斯坦来源请求的响应一直是相同的（仅有八字节的文件）。在野一共发现了 28 个域名下部署了这个空的 RTF 文件，这些域名对应的 URL 也是相似的。

如下所示，SideWinder 部署恶意文件的 URL 结构是可预测的。该特征已经持续超过两年，研究人员相信其可能会继续使用下去。

• 第一阶段：/2/0/0//files-*/(hta|file.rtf)
• 第二阶段：/3/1/1//files-*/

2023 年 3 月中旬，研究人员发现了新配置的服务器来投递恶意 Payload。该服务器的不同之处是针对土耳其的受害者投递第二阶段的 Payload，这说明土耳其也是该组织的攻击目标。

攻击目标

SideWinder 组织的主要目标仍然是巴基斯坦，新增的攻击目标是土耳其。

攻击对象分布

总结

本文介绍了 SideWinder 组织的针对性攻击，尤其是针对土耳其的新攻击动向。从地缘政治角度来说，土耳其对巴基斯坦的支持可能引起了印度的警惕。