卡巴斯基全球研究与分析团队(GReAT)发现,SideWinder APT组织正在利用一种名为 “SteilerBot ”的未知间谍工具包,将其攻击行动扩展到中东和非洲地区。这次发现是卡巴斯基对APT活动进行持续监控行动的一部分,卡巴斯基发现最近的攻击活动针对这些地区的高知名度实体和战略基础设施,目前该攻击行动总体上仍然活跃,并且可能针对其他受害者。

SideWinder,又被称为T-APT-04或RattleSnake,是最多产的APT组织之一,自2012年开始运营。多年来,它的主要攻击目标为巴基斯坦、斯里兰卡、中国和尼泊尔的军事和政府实体,以及南亚和东南亚的其他部门和国家。最近,卡巴斯基观察到了新一轮的攻击,这些攻击已扩大到影响中东和非洲的知名实体和战略基础设施。

除了地域上的扩张之外,卡巴斯基还发现 SideWinder 正在使用一种以前未知的名为 “SteilerBot ”的后利用工具包。这是一个专为间谍活动设计的先进模块化植入程序,目前被该组织用作主要的后利用工具。

“本质上,StealerBot是一种隐秘的间谍工具,能够让威胁行为者监控系统,同时避免被轻易发现。它采用模块化机构运行,每个组件都被设计用于执行特定功能。值得注意的是,这些模块从不以文件形式出现在系统硬盘上,因此难以追踪。相反,它们直接加载到内存中。StealerBot的核心是“协调器”,它监督整个操作,与威胁行为者的命令和控制服务器通信,并协调其各种模块的执行,”全球研究与分析团队(GReAT)首席安全分析师Giampaolo Dedola说。

在最近的调查中,卡巴斯基发现StealerBot正在执行一系列恶意活动,包括安装额外的恶意软件、截取屏幕截图、记录键盘输入、窃取浏览器密码、拦截RDP(远程桌面协议)凭证、外泄文件等

卡巴斯基于 2018 年首次报告了该组织的活动。据了解,该威胁行为者主要依赖鱼叉式网络钓鱼邮件作为其主要的感染手段,邮件中包含利用Office漏洞的恶意文档,偶尔还会使用包含在压缩文件中的LNK、HTML和HTA文件。这些文档通常包含从公共网站获取的信息,用于诱骗受害者打开文件并使其相信文件是合法的。卡巴斯基发现,有多个恶意软件家族在并行活动中被使用,包括定制的和经过修改的、公开可用的远程访问工具(RAT)。

更多详情请访问Securelist。为了应对与高级持续性威胁(APT)活动相关的威胁,卡巴斯基建议为组织的信息安全专家配备卡巴斯基威胁情报门户提供的最新见解和技术细节。如需更深入地了解不断演变的网络威胁世界并进行有见地的交流,请参加卡巴斯基第十六届安全分析师峰会(SAS),该峰会将于2024年10月22日至25日在巴厘岛举行。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.