# 蛇从暗⿊中袭来——响尾蛇(SideWinder) APT组织2020年上半 年活动总结报告

**mp.weixin.qq.com/s/5mBqxf_v6G006EnjECoTHw**

注意事项:1.本报告由追影⼩组原创,未经许可禁⽌转载2.本⽂⼀共3245字,36张图,预计
阅读时间8分钟3.本⽂涉及的敏感内容皆以打码,并且不公开C2和hash.所造成的恶劣影响与本公众号和本团队
⽆关

## 0x00.前⾔:

响尾蛇(又称SideWinder，T-APT-04)是⼀个背景可能来源于印度的 APT 组织，该组织
此前已对巴基斯坦和东南亚各国发起过多次攻击， 该组织以窃取政府， 能源， 军事， 矿
产等领域的机密信息为主要⽬的。

在今年年初的时候，Gcow安全团队的追影⼩组发布了关于 `SiderWinder` **APT组织的报**
告——《游荡于中巴两国的魅影——响尾蛇(SideWinder) APT组织针对巴基斯坦最近的
**活动以及2019年该组织的活动总结》。本⼩组也⼀直对该⼩组的活动加以跟踪。**

在2020上半年的活动中该组织的主要⽬标依然是巴基斯坦，中国，孟加拉国以及其他的东
**南亚国家，其主要是集中在政府，军事领域。不过值得注意的是在本次活动也出现了体育**
**⽐赛⽅⾯的话题。同时该组织在针对某重点单位的时候采取的使⽤钓鱼⽹站的⽅式窃取相**
关⼈员的凭据，⽬前所发现这种⽅式主要针对的是与军事有关的部门。其实该组织也同样
利⽤关于COVID-19的信息作为诱饵对中巴的教育机构以及政府机构进⾏攻击活动。

从样本攻击流程来看，该组织的技术并没有太多的⾰新。主要的样本形式有两类，第⼀类
为带有CVE-2017-11882漏洞的RTF(富⽂本)⽂件;另⼀类为使⽤mshta.exe执⾏远程hta脚
本的LNK⽂件。不过该组织在针对我国某所⼤学的攻击活动中所采取的载荷较为不同，其
采⽤了 `CVE-2017-0199 漏洞结合` `CVE-2020-0674 漏洞的⽅式进⾏攻击，在后续的内容`
中我们会详细的介绍该组织使⽤的新⼿法。具体的流程会在后⽂中以流程图的形式展现出
来。
```
Gcow 安全团队追影⼩组初步统计了关于2020年上半年国内外各⼤⼚商以及安全团队所发

```
布的披露SideWinder APT组织的相关报告信息，并把相关报告链接放在了⽂末的相关链
接上(若有不全欢迎私信补充)


-----

图⽚1-2020上半年各⼤⼚商发布关于SideWinder APT组织的报告

根据不完全统计， `Gcow 安全团队追影⼩组还绘制了该组织2020年上半年的攻击活动脉络`
图。

图⽚2-SideWinder APT组织2020上半年的活动时间轴

## 0x01.样本分析:

该组织主要投放的样本类型以LNK⽂件为主，RTF⽂件为辅。基本在针对每个⽬标的攻击
活动中，我们都发现其使⽤两种载荷交替攻击的情况。


-----

### ⼀.针对巴基斯坦的活动:

下图为该组织针对巴基斯坦活动所投放的LNK⽂件:

图⽚3-2020上半年SideWinder APT组织针对巴基斯坦所投放LNK样本

其主要通过将lnk⽂件放到压缩包中，以达到绕过邮件⽹关的⽬的。

其释放的诱饵⽂件如下:

图⽚4-向退役军⼈发放csd回扣卡


-----

图⽚5-巴基斯坦军⽅抗击疫情相关战略


-----

图⽚6-巴基斯坦空军⼤学疫情期间⽹络课程政策

其中这些LNK⽂件的参数为 `%windir%\system32\cftmo.exe {HTA URL}` 这⾥的
```
cftmo.exe 是伪装的 mshta.exe .该组织通过修改sIDList结构以迷惑受害者。

```

-----

图⽚7-lnk载荷的参数

所请求的远程hta⽂件，该组织以⾃写的解密算法取代了之前的硬编码，不过核⼼与上⼀篇
⽂章我们所描述的⼀样，在内存加载.Net的dll⽂件 `LinkZip.dll`

图⽚8-第⼀阶段hta脚本
```
LinkZip.dll 被传⼊四个参数

```
参数1-下⼀段hta⽂件的URL地址 参数2-上传杀软信息的URL地址 参数3`base64和Gzip加密后的诱饵⽂档数据` 参数4-诱饵⽂档名称

该 `LinkZip.dll 先解密参数3，再将诱饵⽂档写⼊临时⽂件夹，最后运⾏。就会出现我们`
提到的那些诱饵的⽂档，以迷惑受害者。


-----

图⽚9-解密诱饵⽂档数据并运⾏

将参数1的第⼆阶段hta⽂件下载下来，存在 `%temp%\ ⽬录下，利⽤` `mshta.exe 将其运⾏`
起来，若运⾏不成功将会向参数2反馈在第⼀阶段hta脚本中收集的杀软信息以及其他异常
情况。

图⽚10-执⾏第⼆段hta脚本并反馈异常信息

第⼆阶段hta脚本同样是解密后内存加载 `.Net ⽂件` `StInstaller.dll`


-----

图⽚11-第⼆阶段hta脚本
```
StInstaller.dll 被传⼊了三个参数

```
参数1-加密的duser.dll数据 参数2-加密的{随机名}.tmp数据 参数3-编码的回
链C2地址

其先从 `%windir%\system32\ 或者` `%windir%\syswow64\ 拷贝` `rekeywiz.exe 到该⽊马`
的指定⽂件夹下，解密 `Duser.dll 与` `{随机名}.tmp ，并将其写⼊⽊马指定的⽂件夹下，`
以组成rekeywiz.exe与Duser.dll⽩加⿊组合进⾏攻击，并且通过写注册表启动项的⽅式将
rekeywiz.exe设为⾃启动达到权限维持的效果。

图⽚12-StInstaller.dll


-----

```
Duser.dll 以 rekeywiz.exe 的侧加载执⾏起来，并且其主要功能是读取同⽬录下

```
的 `.tmp ⽂件，并且选取其前32个字节为异或的秘钥，解密后⾯的内容再内存加载。`

图⽚13-Duser.dll

其解密出了最后的Net⽂件 `SystemApp.dll`

由于最后的远控与上篇⽂章没有什么区别，这⾥不再赘述。

图⽚14-SystemApp.dll

远控指令:


-----

图⽚15-远控指令

为了⽅便各位看官的理解本团队特意画了⼀张流程图，⽅便各位更加直观地了解这个组织
的⼿法。

图⽚16-响尾蛇(SideWinder)APT组织lnk载荷的运⾏流程


-----

### ⼆.针对孟加拉国的攻击活动:

本⼩组发现该组织针对孟加拉国的活动主要模仿了孟加拉国代购商协会对相关单位以及⼈
员进⾏攻击活动。

图⽚17-模仿孟加拉国代购商协会进⾏攻击

该属于RTF类型的样本，主要是利⽤嵌⼊的ole对象释放 `1.a ⽂件`

图⽚18-1.a⽂件
```
1.a ⽂件类似于上⽂介绍Lnk载荷中提到的第⼆阶段hta⽂件，其在内存中解密
StInstaller.dll 并释放⽩加⿊组合，后续的⽩加⿊组合也和上⽂类似，这⾥不再赘

```
述。


-----

图⽚19-响尾蛇(SideWinder)APT组织RTF载荷的运⾏流程

### 三.针对中国的攻击活动:

在本次活动之中，本⼩组捕获了针对中国某某重点⼤学的⽹络攻击活动，如下是其使⽤的
⽂件诱饵，话题关于2020年春季的疫情防控⼯作的优秀教师推荐名单。


-----

图⽚20-针对某某重点⼤学的诱饵

其利⽤内置⼀个frameset组件，ID是 `rId912 .该组件会指向⼀个远程的RTF⽂件，以此完`
成远程远程模板注⼊技术，加载远程模板，这是⼀种绕过杀软静态查杀的好⽅法。

图⽚21-远程模板注⼊技术

远程模板为RTF⽂档，其内嵌了OLE对象，并且使⽤了漏洞CVE-2017-0199加载其内置
会⾃动更新的超链接域。


-----

图⽚22-远程模板内置的⾃动更新超链接域

该超链接更新域指向⼀个hta⽂件，hta⽂件的解密算法与上⽂提到的类似。

不过值得注意的是，该hta⽂件的异或解密秘钥是从⽹站上获取的。

若攻击者需要及时停⽌攻击活动只需要撤⾛相关的秘钥即可。

图⽚23-hta⽂件⾃解密部分

其解密的⽂件如下所⽰，经过调试发现其崩溃点偏移量与双星漏洞所公开的POC完全相
同，均位于jscript+0x1cfbb偏移处.以此确定为双星0day之⼀的CVE-2020-0674漏洞的
利⽤，属于浏览器nday漏洞利⽤范畴。


-----

图⽚24-CVE-2020-0674利⽤

图⽚25-与公开POC崩溃点偏移完全⼀致

shellcode主要利⽤异或算法⾃解密再从C2上下载第⼆段shellcode解密执⾏后释放⽩加⿊组
合和随机名称的tmp⽂件以及兼容.net环境的配置⽂件。修改注册表将⽩名单的exe程序列
为开机⾃启动。后续的内容就与上⽂相同，这⾥不再赘述。


-----

图⽚26-Shellcode⾃解密后下载第⼆段shellcode解密内存执⾏

为⽅便⼤家理解，笔者绘制了⼀张流程图来展⽰这个组织利⽤浏览器nday进⾏攻击的流
程。

图⽚27-SideWinder 组织利⽤浏览器nday对中国某重点⼤学发起攻击的活动


-----

除此之外，该组织还针对我国的政府，军⼯，外交⾏业投递相应的载荷，其主要载荷以
**lnk⽂件与rtf⽂件。其执⾏流程与上⽂相符。**

图⽚28-与军事有关的攻击活动1


-----

图⽚29-与军事有关的攻击活动2


-----

图⽚30-与政策有关的攻击活动


-----

图⽚31-与科技有关的攻击活动

### 四.针对未确定地区的攻击活动:

在对该组织的跟踪过程中，我们还观察了该组织利⽤关于体育⽐赛的话题进⾏攻击的活
动。

该组织利⽤ `AFC(Asian Football Confederation) **`的话题进⾏攻击` 其为lnk载荷，
具体lnk载荷的运⾏⽅式我们已经在上⽂介绍过了，这⾥不再赘述。


-----

图⽚32-利⽤AFC为诱饵

**AFC(Asian Football Confederation)指的是亚洲⾜球联合会可见该组织的攻击⽬标集**
中在亚洲范围内，⽐较偏向于南亚，东亚，东南亚地区。

图⽚33-AFC简介

同时我们还监测到了关于其使⽤亚太科学中⼼协会 `ASPAC(Asia Pacific Network of`
```
Science and Technology Centres) 的名称为话题诱饵的的攻击活动。

```
图⽚34-以ASPAC，BMAC为话题诱饵

其所使⽤的⼿法与上⽂类似，这⾥不再赘述。


-----

## 0x02.样本关联与演进:

从⼀⽉份的样本来看，该组织依旧沿⽤了rekeywiz.exe与Duser.dll这个⽩加⿊的组合⽅
式，并且使⽤了读取同⽬录下的带有随机名的tmp⽂件的前32个字节当做秘钥的⼿法，以
解密后⾯加密的部分。其lnk⽂件的伪装欺骗以及释放相关诱饵的流程也与去年年末的活动
有相似之处。

不过有所不同的是，其在去年的hta⽂件中主要使⽤的编码⽅式是base64编码但在今年的
活动中，其使⽤了⾃⼰所⾃定义编码⽅式对⽂本进⾏解码与异或解密。这给杀软的静态查
杀造成了⼀定程度的困难。

图⽚35-hta⽂件⾃编码⽅式的改变

同时该组织也有⼀定的漏洞利⽤能⼒，⽐如其利⽤ `CVE-2019-2215 以及` `CVE-2020-`
```
0674 的漏洞，⼆者在其利⽤的时候皆属于nday漏洞范畴。并且从其相关的利⽤代码来

```
看，存在了该组织可能依托于⽹络军⽕商的现象。

⽐如 `CVE-2020-0674 的漏洞，依据国内安全⼚商360以及⽇本cert所发布的报告来看，⼆`
者的前⾯所使⽤的变量声明以及具体参数是⼀致的，该⼀致性也同样适⽤于⽬前泄露的该
漏洞的POC中。从此看出第⼀种可能是SideWinder APT组织截取了Darkhotel APT组
**织所使⽤的漏洞利⽤代码，并以此进⾏⼆次的开发。还有⼀种情况为两者都依托于某个⽹**
络武器的供应商.本⼩组认为后者的可能性⼤于前者。


-----

图⽚36-本次活动使⽤nday与⽇本cert报告中的所使⽤的利⽤代码的相似之处

不过以上仅仅为追影⼩组的⼀些猜测，如果看官有更多相关的证据，欢迎在评论区指出。

## 0x03.处置建议与结语

### 处置建议

删除C:\ProgramData\下可能存在的疑似的⽂件夹中，存在rekeywiz.exe，
**Duser.dll，rekeywiz.exe.config，{随机名}.tmp**

或者通过进程遍历查找rekeywiz.exe打开其路径是否于 `%windir%\System32 或`
者 `%windir%\syswow64 下，如果不存在观察是否存在同⽬录下的随机名` `tmp ⽂件，如果`
存在需要将其清空。

同时找到注册表启动项 删除⽬标路径为rekeywiz.exe的注册表键值。

另外需要注意的是CVE-2020-0674漏洞在win7上很难打上补丁,由于win7已经停服，请
⼴⼤win7⽤户务必检查⾃⼰的jscript.dll⽂件版本是否⼩于5.8.9600.19626这个版本，如果
是，则处在该漏洞影响的风险中,这⾥建议最稳妥的⽅式就是升级系统.

### 结语

印度的响尾蛇APT组织是⽐较活跃的APT组织之⼀，随着⼿法的进步，以及相关的nday漏
洞利⽤，该组织的攻击⽔平会越来越⾼。对我国的政治、经济、军事等⽅⾯会造成⼀定影
响。同时加强员⼯的安全意识，进⾏安全意识培训，勤打补丁，可以对这种“鱼叉”攻击起
到⼀定的防范作⽤。

## 0x04.IOCs

### MD5

FEF12D62A3B2FBF1D3BE1F0C71AE393E


-----

69A173DC32E084E7F1E1633526F80CA2

DBB09FD0DA004742CAC805150DBC01CA

2C798C915568B3FD8EE7909C45A43168

865E7C8013537414B97749E7A160A94E

3AD91B31956CE49FE3736C0E7344228D

D7187130CF52199FAE92D7611DC41DAC

B6932A288649B3CEB9A454F808D6EB35

7E461F6366681C5AE24920A31C3CFEC6

### C2

nrots[.]net

www.d01fa[.]net

www.fdn-en[.]net

ap-ms[.]net

r0dps[.]net

www-afc[.]chrom3[.]net

cloud-apt[.]net

www.link-cdnl[.]net

kat0x[.]net

www[.]au-edu[.]km01s[.]net

## 0x05.相关链接:

- ttps://blog.trendmicro.com/trendlabs-security-intelligence/first-active-attackexploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group/

- ttps://mp.weixin.qq.com/s/yxUTG3Qva169[XiYV0pAyQ•https://mp.weixin.qq.com/s/9LfElDbKCrQX1QzGFISFPw•https://mp.weixi](https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247491138&idx=1&sn=716ed14552f6c3f31d502ae4f6e12e08&scene=21#wechat_redirect)
n.qq.com/s/Kb_woHp1miaCgDZyHLHNgA•https://mp.weixin.qq.com/s/CZrdslzEs4iwla
TzJH7Ubg•https://bbs.pediy.com/thread-259500.htm•https://blogs.360.cn/post/apt-c06_0day.html•https://blogs.jpcert.or.jp/en/2020/04/ie-firefox-0day.html


-----

-----