SideWinder采用基于ClickOnce的新攻击链，针对南亚外交官

一项新的网络间谍活动近日曝光，目标为南亚地区的外交和政府组织。该威胁行为者SideWinder于2025年9月发起此行动，重点针对印度新德里的欧洲大使馆以及斯里兰卡、巴基斯坦和孟加拉国的多个机构。此次活动标志着SideWinder战术、技术和程序（TTPs）的演进，特别是引入了利用PDF文件和ClickOnce应用程序的新型感染链，补充了其早期使用的微软Word漏洞利用手段。 Trellix的研究人员Ernesto Fernández Provecho和Pham Duy Phuc详细说明了攻击者如何在2025年3月至9月间通过四波鱼叉式钓鱼邮件实施攻击。这些邮件包含伪装成官方文件的恶意附件，标题如“部长间会议凭证.pdf”或“2025年5月印巴冲突——战略与战术分析.docx”。邮件来自一个仿冒巴基斯坦国防部的域名，增强了欺骗性。 这些攻击的初始感染载体是发送恶意PDF或Word文件。PDF文件内含一个按钮，诱使收件人下载并安装最新的Adobe Reader版本，但点击后会触发从远程服务器下载ClickOnce应用程序。该应用程序“ReaderConfiguration.exe”是MagTek Inc.的合法可执行文件，带有有效数字签名，显得可信。启动后，它会旁加载一个名为“DEVOBJ.dll”的恶意DLL，后者解密并运行一个名为ModuleInstaller的.NET加载器。 ModuleInstaller在感染系统中扮演关键角色，负责系统信息收集并下载更多恶意负载，包括StealerBot。StealerBot是一种先进的.NET植入工具，能够启动反向Shell，投放额外恶意软件，并收集敏感数据如屏幕截图、按键记录、密码和文件。ModuleInstaller和StealerBot均于2024年10月首次由卡巴斯基公开识别，关联SideWinder此前针对中东和非洲战略基础设施的攻击。 早期攻击由Acronis于2025年5月报告，亦针对斯里兰卡、孟加拉和巴基斯坦政府机构，利用恶意微软Office文档投放StealerBot。最新活动通过结合PDF和Word文档、结合地缘政治背景的钓鱼邮件以及利用合法签名软件进行旁加载，提升了复杂度。值得注意的是，指挥控制服务器限制访问南亚地区，并生成动态下载路径，增加调查难度。 该活动反映了SideWinder持续改进其方法以规避检测的努力。其多波次钓鱼策略显示出对外交环境的深刻理解，精心设计高度针对性的诱饵以最大化成功率。利用定制恶意软件和合法签名应用程序进行负载投放，凸显其对规避和长期间谍目标的重视。Trellix的发现强调了该组织对地缘政治敏感区域外交和政府机构持续构成的威胁。