瑞星捕获SideCopy组织针对印度政府的APT攻击

2023-02-22   

近日,瑞星瑞星威胁情报平台捕获到一起针对印度政府部门发起的APT攻击事件,通过分析发现此次事件的攻击者疑似SideCopy组织。

近日,瑞星威胁情报平台捕获到一起针对印度政府部门发起的APT攻击事件,通过分析发现此次事件的攻击者疑似SideCopy组织。该组织通过钓鱼邮件等方式将诱饵文档发送给受害者,利用内嵌的远控木马ReverseRAT来达到信息窃取、远程控制的目的。目前,瑞星ESM防病毒终端安全防护系统已可检测并查杀该类远控木马,广大用户可使用该产品免受病毒危害。

瑞星安全专家介绍,在此次攻击事件中,截获的诱饵文档名为Cyber Advisory 2023.docm,其伪装成安全机构提供给印度政府部门的安全研究报告,报告主题为《Android系统的威胁和预防措施》,以钓鱼邮件等方式进行传播,由于针对政府部门,又涉及到安全领域,因此极具诱惑性和隐蔽性,让人难以防范。一旦有受害者点击了该文档,就会启动其中内嵌的宏代码,下载并运行存储于远程服务器上的远控木马。

图:诱饵文档

瑞星通过分析发现,该远控木马名为ReverseRAT,疑似由巴基斯坦的攻击者开发使用,与SideCopy组织具有非常密切的关系,同时将本次攻击行动感染链与SideCopy组织过往感染链对比分析,发现相似度极大,因此判定此次攻击行动的主导者为SideCopy组织。

图:攻击流程

据悉,SideCopy组织疑似来自于巴基斯坦,至少从2019年就开始进行网络攻击活动,主要针对南亚国家,特别是印度和阿富汗的政府部门。由于该组织的攻击方式试图模仿SideWinder(疑似来自印度的攻击组织,中文名响尾蛇)组织,故得名SideCopy。

由于APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征,且目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业,因此国内相关政府机构和企业单位务必要引起重视,加强防御措施,做到以下几点:

1. 不打开可疑文件。

不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。

2. 部署网络安全态势感知、预警系统等网关安全产品。

网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。

3. 安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。

杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。

图:瑞星ESM防病毒终端安全防护系统可查杀相应远控木马

4. 及时修补系统补丁和重要软件的补丁。

许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播,及时安装补丁将有效减小漏洞攻击带来的影响。

编辑:瑞瑞 阅读: