卡巴斯基的研究人員警告稱，APT組織SideWinder（又名Razor Tiger、Rattlesnake和T-APT-04）正針對南亞、東南亞、中東和非洲的海事、物流、核能、電信和IT行業發起攻擊。該組織自至少2012年以來一直活躍，主要目標是中亞國家的警察、軍隊、海事和海軍部隊。在2022年的攻擊中，該組織還瞄準了外交部、科研和國防機構、航空業、IT行業以及律師事務所等部門。

攻擊范圍與基礎設施

SideWinder的C2基礎設施龐大，由超過400個域名和子域名組成，用于托管惡意載荷并對其進行控制。卡巴斯基觀察到，該組織在2024年擴大了攻擊范圍，尤其在埃及、亞洲和非洲的活動有所增加。部分攻擊明顯針對南亞的核電站和核能設施，并逐漸向新的非洲國家擴展其活動。

快速適應與惡意軟件演變

SideWinder能夠迅速適應安全檢測，在數小時內修改惡意軟件，調整戰術、技術和程序。研究報告中提到：“一旦他們的工具被識別，他們會在5小時內生成一個新的修改版惡意軟件。如果行為檢測發生，SideWinder會嘗試改變技術以維持持久性和加載組件。此外，他們還會更改惡意文件的名稱和路徑。因此，對該組織活動的監控和檢測就像一場乒乓球比賽。”

2024年的感染模式與之前的描述一致。攻擊者通過發送帶有DOCX附件的魚叉式釣魚郵件發起攻擊。文檔加載存儲在攻擊者控制的遠程服務器上的RTF模板文件，利用微軟Office內存損壞漏洞（CVE-2017-11882）運行惡意shellcode，并啟動多層次感染過程。攻擊鏈的最終階段是一個名為“Backdoor Loader”的惡意軟件，加載一個名為“StealerBot”的定制后開發工具包。

報告中還提到：“在調查中，我們發現了新的C++版本的‘Backdoor Loader’組件。其邏輯與.NET版本相同，但C++版本缺少反分析技術。此外，大多數樣本都是為特定目標定制的，因為它們被配置為從嵌入代碼的特定文件路徑加載第二階段，其中還包括用戶的名稱。這表明這些變體可能是在感染階段后使用的，并由攻擊者在已攻破的基礎設施中手動部署，以驗證受害者。”

攻擊手法與防護建議

大多數被檢測到的誘餌文檔涉及政府和外交事務，但也有部分涉及租車、房地產和自由職業等通用主題。報告總結道：“SideWinder是一個非常活躍且持續演進的威脅組織，不斷改進其工具集。其基本感染方法是利用舊的微軟Office漏洞CVE-2017-11882，這再次強調了安裝安全補丁的重要性。盡管使用了舊的漏洞利用手段，我們不應低估這一威脅組織。事實上，SideWinder已經展示了其針對關鍵資產和重要實體（包括軍事和政府機構）的入侵能力。”