近日,科学研究工作人员捕获到好几个以印度的国防安全副司令飞机坠毁有关事情为诱饵的攻击文本文档。当地时间12月8日,印度的国防安全副司令搭乘一架军用直升机在南边泰米尔纳德邦坠机身亡。此事情也快速在互联网上发醇散播,攻击者利用该类有关事情做为诱饵文本文档并在文件里利用远程控制模版引入作用,将带有故意DDE域代码的文挡开展远程控制载入并运行恶意程序免费下载后面。
详细信息:
2020年9月,Quick Heal公布了一起对于印度的国防军和武装力量工作人员海军工作人员的窃取商业秘密行为并将其取名为Operation SideCopy。行为起源于2019年初,其攻击者关键以拷贝Sidewinder APT组织的TTPs开展攻击,故被取名为Operation SideCopy。而本次捕获的样版目的性强,应用DDE 故意域代码开展攻击,与先前东南亚地区APT 组织腾云蛇所采用的攻击方法相近,表明该组织在不断地效仿东南亚地区的好几个APT犯罪团伙的攻击技巧。除此之外,根据进一步剖析,本次所捕获的样品中,很多诱饵信息与印度军事、经济发展有关,疑是SideCopy APT 组织利用这种信息对于印度的进行的一次APT 攻击主题活动。
此次捕获的范本是利用印度的国防安全副司令飞机坠毁为诱饵信息开展攻击。
诱饵文本文档不包含该类信息,反而是根据受害人打开文档,开启CVE-2017-0199 系统漏洞从攻击者网络服务器要求带上有诱饵信息及其故意DDE 域代码的docx 文档开展远程控制模版引入攻击。
总体攻击步骤大概如下所示:
SideCopy做为近些年才活跃性在人们视线范畴内的APT组织,其攻击技巧及武器装备编码层面与同地区组织对比都比较稚嫩,且大多数应用互联网上开源系统的编码及专用工具。但诸多征兆说明,SideCopy很有可能和东亚别的APT 组织中间还存有丝丝缕缕的联络。