{
	"id": "555bc856-12ff-4748-ac35-96e1bb966f1d",
	"created_at": "2026-04-06T01:28:57.955132Z",
	"updated_at": "2026-04-10T03:37:20.340908Z",
	"deleted_at": null,
	"sha1_hash": "3e00505761f68698ed40985d4e29f73d26cba7d8",
	"title": "响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 3423369,
	"plain_text": "响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析\r\nBy 奇安信威胁情报中心\r\nArchived: 2026-04-06 00:36:48 UTC\r\n概述\r\n响尾蛇（又称SideWinder）是疑似具有南亚背景的APT组织，其攻击活动最早可追溯到2012年，主要针对\r\n其周边国家政府，军事，能源等领域开展攻击活动，以窃取敏感信息为攻击目的。\r\n近日，奇安信威胁情报中心红雨滴团队在日常高价值样本挖掘中，捕获了一例响尾蛇组织攻击样本，该\r\n样本伪装为巴基斯坦-菲律宾相关合同协议，诱导受害者执行，一旦受害者执行，该样本便会通过公式编\r\n辑漏洞执行JS脚本，从而部署其常用的.NET远控木马控制受害者机器，窃取敏感信息。\r\n样本分析\r\nhttps://www.secrss.com/articles/26507\r\nPage 1 of 15\n\n基本信息\r\nMD5 2ba61596f9ec352eebe6e410a25867f6\r\n文件创建时间 2020-10-15 08:37:00\r\n默认语言 English-UnitedKingdomArabic-Saudi Arabia\r\n文件名 MoU\"s.doc\r\n该样本以巴基斯坦菲律宾相关协议为诱饵，内容涉及航空,文化,税收等。执行后，将展示相关内容迷惑受\r\n害者。\r\n详细分析\r\n通过奇安信自研文件深度解析引擎OWL解析发现该样本使用了CVE-2017-11882漏洞,并在其中嵌入名称为\r\n1.a的JS脚本文件。\r\nhttps://www.secrss.com/articles/26507\r\nPage 2 of 15\n\nShellCode 分析\r\n公式编辑漏洞利用成功后，将加载ShellCode执行，该ShellCode首先获取要使用的API函数字符串。\r\n初始化相关API函数。\r\n最终通过RunHTMLApplacation加载执行JS脚本。\r\nhttps://www.secrss.com/articles/26507\r\nPage 3 of 15\n\nJS脚本文件分析\r\nMD5 3ad3ddc1e8ada7f6a4fe0800b578ee4a\r\n加载执行的JS脚本与响尾蛇组织常用的脚本基本一致，主要功能为解码并内存加载一个.NET dll,其解码方\r\n法为base64解码。\r\n解密变量so的编码数据，解码后的内容如下，其中包含一个可执行文件。\r\nhttps://www.secrss.com/articles/26507\r\nPage 4 of 15\n\n在后续调用中通过CreateInstance调用加载后的DLL的导出函数Work，并传入合适的参数值。\r\nStInstaller.dll分析\r\nMD5 5fda277b43aed849b9fb6c5b907e5620\r\n创建时间 星期六, 10.10.2020 16:48:41 UTC\r\nhttps://www.secrss.com/articles/26507\r\nPage 5 of 15\n\n原始文件名 5fda277b43aed849b9fb6c5b907e5620\r\n内存解密加载的DLL名为StInstaller.dll，加载执行后首先初始化远程服务器地址，安装目录等信息。\r\n将系统目录下的\"C:\\Windows\\syswow64\\rekeywiz.exe\"拷贝到恶意软件安装目录，并将其设置为注册表自启\r\n动项。\r\n之后开始进行后续恶意软件部署，将在制定的恶意软件目录释放多个文件，部署完成后，恶意软件目录\r\n下文件如图所示。\r\nhttps://www.secrss.com/articles/26507\r\nPage 6 of 15\n\n创建任务名为”UpdateService”的计划任务执行rekeywiz.exe\r\n创建的计划任务信息如下。\r\nDuser.dll分析\r\nHASH 740f61933a0546637bfb552a3c5939ae\r\nhttps://www.secrss.com/articles/26507\r\nPage 7 of 15\n\n时间戳 星期六, 10.10.2020 16:48:33 UTC\r\nrekeywiz.exe执行后，将会尝试加载同目录下的Duser.dll,此攻击方法是响尾蛇组织近年来长期使用的白加\r\n黑手法，该dll主要功能为解密加载目录下的tmp文件，解密函数如下。\r\n解密完成后，加载解密后的DLL文件，并调用其Program.Start().方法。\r\n远控SystemApp.dll分析\r\nHASH 18c3a87c9bc3c0d57989046f098bfe8d\r\n时间戳 星期日, 11.09.2089 06:59:47 UTC\r\n加载执行的是响尾蛇组织常用的远控DLL，但此次该dll增加了稍许修改，增加了稍许混淆。执行后首先\r\n加载资源表自带的Newtonsoft.Json.dll\r\n之后从资源中解密初始化相关配置信息。\r\nhttps://www.secrss.com/articles/26507\r\nPage 8 of 15\n\n然后会尝试读取C:\\ProgramData\\SyncFiles\\Sync文件，如果读取失败则跳入异常处理进行文件写入，写入\r\n各种配置信息并进行异或加密存入文件。\r\n初始化结束后，创建两个定时器函数用于执行Rat的主要功能。\r\nhttps://www.secrss.com/articles/26507\r\nPage 9 of 15\n\n定时器1：主要功能为循环与C2通信，获取指令解析执行。\r\n该远控具有十个指令功能，如图所示。\r\nhttps://www.secrss.com/articles/26507\r\nPage 10 of 15\n\n相关指令功能如下：\r\n指令 功能\r\n1 获取系统相关信息，并以Json的格式写入到随机文件名.sif文件中。\r\n2 获取文件列表保存到.flc文件\r\nhttps://www.secrss.com/articles/26507\r\nPage 11 of 15\n\n3 将指定文件以及信息写入.fls文件\r\n4 重写配置信息到Sync文件中\r\n5 更换c2地址\r\n6 更新是否上传文件参数\r\n7 修改想获取的特殊文件类型，最初是office文件后缀\r\n8 设置上传文件大小限制\r\n9 指定上传文件\r\n10 返回\r\n定时器2主要功能为上传获取的信息文件。\r\nhttps://www.secrss.com/articles/26507\r\nPage 12 of 15\n\n溯源关联\r\n奇安信红雨滴团队结合威胁情报中心ALPHA平台，对此次捕获的样本攻击手法，代码等方面关联分析发\r\n现，此次攻击活动中使用的代码与响尾蛇组织存在高度相似性。\r\nhttps://www.secrss.com/articles/26507\r\nPage 13 of 15\n\n同时，其C2服务器相关信息在威胁情报中心ALPHA平台已有响尾蛇组织相关标签。\r\n总结\r\n响尾蛇APT组织近年一直高度活跃，其攻击链也较为复杂，采用多层解码内存加载，且其最终恶意dll仍\r\n是解密内存加载，并未落地，能一定程度上避开杀软检测。疫情尚未结束，意味着利用疫情的网络攻击\r\n活动也并不会就此缩减，奇安信红雨滴团队提醒广大用户，切勿打开社交媒体分享的来历不明的链接，\r\nhttps://www.secrss.com/articles/26507\r\nPage 14 of 15\n\n不点击执行未知来源的邮件附件，不运行夸张的标题的未知文件。做到及时备份重要文件，更新安装补\r\n丁。\r\n若需运行，安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台\r\n（https://sandbox.ti.qianxin.com/sandbox/page）进行简单判别。目前已支持包括Windows、安卓平台在内的\r\n多种格式文件深度分析。\r\n目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、\r\n天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。\r\nIOC\r\n2ba61596f9ec352eebe6e410a25867f6\r\n3ad3ddc1e8ada7f6a4fe0800b578ee4a\r\n5fda277b43aed849b9fb6c5b907e5620\r\nhttps://cdn-sop.net/202/wGpm0RzJrMtEAvPiWk2eF4gXwOLYsphJ7KTx4Dyg/-1/13856/a042ecbe\r\n参考链接\r\nhttps://ti.qianxin.com/blog/articles/the-recent-rattlesnake-apt-organized-attacks-on-neighboring-countries-and-regions/\r\n声明：本文来自奇安信威胁情报中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内\r\n参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。\r\nSource: https://www.secrss.com/articles/26507\r\nhttps://www.secrss.com/articles/26507\r\nPage 15 of 15",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.secrss.com/articles/26507"
	],
	"report_names": [
		"26507"
	],
	"threat_actors": [
		{
			"id": "d0c0a5ea-3066-42a5-846c-b13527f64a3e",
			"created_at": "2023-01-06T13:46:39.080551Z",
			"updated_at": "2026-04-10T02:00:03.206572Z",
			"deleted_at": null,
			"main_name": "RAZOR TIGER",
			"aliases": [
				"APT-C-17",
				"T-APT-04",
				"SideWinder"
			],
			"source_name": "MISPGALAXY:RAZOR TIGER",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "6b9fc913-06c6-4432-8c58-86a3ac614564",
			"created_at": "2022-10-25T16:07:24.185236Z",
			"updated_at": "2026-04-10T02:00:04.893541Z",
			"deleted_at": null,
			"main_name": "SideWinder",
			"aliases": [
				"APT-C-17",
				"APT-Q-39",
				"BabyElephant",
				"G0121",
				"GroupA21",
				"HN2",
				"Hardcore Nationalist",
				"Rattlesnake",
				"Razor Tiger",
				"SideWinder",
				"T-APT-04"
			],
			"source_name": "ETDA:SideWinder",
			"tools": [
				"BroStealer",
				"Capriccio RAT",
				"callCam"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "173f1641-36e3-4bce-9834-c5372468b4f7",
			"created_at": "2022-10-25T15:50:23.349637Z",
			"updated_at": "2026-04-10T02:00:05.3486Z",
			"deleted_at": null,
			"main_name": "Sidewinder",
			"aliases": [
				"Sidewinder",
				"T-APT-04"
			],
			"source_name": "MITRE:Sidewinder",
			"tools": [
				"Koadic"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775438937,
	"ts_updated_at": 1775792240,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/3e00505761f68698ed40985d4e29f73d26cba7d8.pdf",
		"text": "https://archive.orkl.eu/3e00505761f68698ed40985d4e29f73d26cba7d8.txt",
		"img": "https://archive.orkl.eu/3e00505761f68698ed40985d4e29f73d26cba7d8.jpg"
	}
}