印度国家赞助的威胁行动

重点提取

• SideWinder 的攻击基础设施拥有55个钓鱼域名和IP地址，冒充政府、新闻媒体、金融和电信行业的组织。
• 最常见的目标国家包括中国、巴基斯坦、阿富汗、斯里兰卡、孟加拉、 Singapore、缅甸、卡塔尔和菲律宾。
• SideWinder使用伪装成中国、巴基斯坦和印度政府机构的域名来部署后续的有效载荷。
• 此外，SideWinder还利用伪装为尼泊尔政府网站的HTML应用程序的LNK文件，以及冒充Ludo游戏的恶意Android APK文件。

最近，有关于SideWinder
的报告表明，这个疑似印度国家赞助的APT（高级持续威胁）小组已建立了庞大的攻击基础设施。研究指出，SideWinder的域名和IP地址有55个，这些域名假冒了政府、新闻媒体、金融与电信等领域的组织。根据的调查，SideWinder最常见的攻击目标包括中国、巴基斯坦、阿富汗、斯里兰卡、孟加拉、
Singapore、缅甸、卡塔尔和菲律宾。

透过与Group-
IB和Bridewell的联合报告，发现SideWinder使用伪装成中国、巴基斯坦及印度政府机构的域名来部署其下一阶段的恶意载荷。此外，它还使用了LNK文件，这些文件便于部署假冒尼泊尔政府网站和清华大学电子邮件系统的HTML应用程序。值得注意的是，这个行动还利用一个伪装成Ludo游戏的恶意AndroidAPK文件来获取设备访问权限，并充当间谍软件。

“和许多其他APT团体一样，SideWinder依赖针对性的鱼叉式网络钓鱼作为初始入侵通道。因此，对于组织来说，部署商业电子邮件保护解决方案以引爆恶意内容是非常重要的，”研究人员指出。

行业/领域 | 假冒组织
—|—
政府 | 中国、巴基斯坦、印度
新闻媒体 |
金融 |
电信 |

要保护组织的安全，对于恶意攻击的预防措施与及时的安全防护非常重要。