响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 By 奇安信威胁情报中心 Archived: 2026-04-06 00:36:48 UTC 概述 响尾蛇(又称SideWinder)是疑似具有南亚背景的APT组织,其攻击活动最早可追溯到2012年,主要针对 其周边国家政府,军事,能源等领域开展攻击活动,以窃取敏感信息为攻击目的。 近日,奇安信威胁情报中心红雨滴团队在日常高价值样本挖掘中,捕获了一例响尾蛇组织攻击样本,该 样本伪装为巴基斯坦-菲律宾相关合同协议,诱导受害者执行,一旦受害者执行,该样本便会通过公式编 辑漏洞执行JS脚本,从而部署其常用的.NET远控木马控制受害者机器,窃取敏感信息。 样本分析 https://www.secrss.com/articles/26507 Page 1 of 15 基本信息 MD5 2ba61596f9ec352eebe6e410a25867f6 文件创建时间 2020-10-15 08:37:00 默认语言 English-UnitedKingdomArabic-Saudi Arabia 文件名 MoU"s.doc 该样本以巴基斯坦菲律宾相关协议为诱饵,内容涉及航空,文化,税收等。执行后,将展示相关内容迷惑受 害者。 详细分析 通过奇安信自研文件深度解析引擎OWL解析发现该样本使用了CVE-2017-11882漏洞,并在其中嵌入名称为 1.a的JS脚本文件。 https://www.secrss.com/articles/26507 Page 2 of 15 ShellCode 分析 公式编辑漏洞利用成功后,将加载ShellCode执行,该ShellCode首先获取要使用的API函数字符串。 初始化相关API函数。 最终通过RunHTMLApplacation加载执行JS脚本。 https://www.secrss.com/articles/26507 Page 3 of 15 JS脚本文件分析 MD5 3ad3ddc1e8ada7f6a4fe0800b578ee4a 加载执行的JS脚本与响尾蛇组织常用的脚本基本一致,主要功能为解码并内存加载一个.NET dll,其解码方 法为base64解码。 解密变量so的编码数据,解码后的内容如下,其中包含一个可执行文件。 https://www.secrss.com/articles/26507 Page 4 of 15 在后续调用中通过CreateInstance调用加载后的DLL的导出函数Work,并传入合适的参数值。 StInstaller.dll分析 MD5 5fda277b43aed849b9fb6c5b907e5620 创建时间 星期六, 10.10.2020 16:48:41 UTC https://www.secrss.com/articles/26507 Page 5 of 15 原始文件名 5fda277b43aed849b9fb6c5b907e5620 内存解密加载的DLL名为StInstaller.dll,加载执行后首先初始化远程服务器地址,安装目录等信息。 将系统目录下的"C:\Windows\syswow64\rekeywiz.exe"拷贝到恶意软件安装目录,并将其设置为注册表自启 动项。 之后开始进行后续恶意软件部署,将在制定的恶意软件目录释放多个文件,部署完成后,恶意软件目录 下文件如图所示。 https://www.secrss.com/articles/26507 Page 6 of 15 创建任务名为”UpdateService”的计划任务执行rekeywiz.exe 创建的计划任务信息如下。 Duser.dll分析 HASH 740f61933a0546637bfb552a3c5939ae https://www.secrss.com/articles/26507 Page 7 of 15 时间戳 星期六, 10.10.2020 16:48:33 UTC rekeywiz.exe执行后,将会尝试加载同目录下的Duser.dll,此攻击方法是响尾蛇组织近年来长期使用的白加 黑手法,该dll主要功能为解密加载目录下的tmp文件,解密函数如下。 解密完成后,加载解密后的DLL文件,并调用其Program.Start().方法。 远控SystemApp.dll分析 HASH 18c3a87c9bc3c0d57989046f098bfe8d 时间戳 星期日, 11.09.2089 06:59:47 UTC 加载执行的是响尾蛇组织常用的远控DLL,但此次该dll增加了稍许修改,增加了稍许混淆。执行后首先 加载资源表自带的Newtonsoft.Json.dll 之后从资源中解密初始化相关配置信息。 https://www.secrss.com/articles/26507 Page 8 of 15 然后会尝试读取C:\ProgramData\SyncFiles\Sync文件,如果读取失败则跳入异常处理进行文件写入,写入 各种配置信息并进行异或加密存入文件。 初始化结束后,创建两个定时器函数用于执行Rat的主要功能。 https://www.secrss.com/articles/26507 Page 9 of 15 定时器1:主要功能为循环与C2通信,获取指令解析执行。 该远控具有十个指令功能,如图所示。 https://www.secrss.com/articles/26507 Page 10 of 15 相关指令功能如下: 指令 功能 1 获取系统相关信息,并以Json的格式写入到随机文件名.sif文件中。 2 获取文件列表保存到.flc文件 https://www.secrss.com/articles/26507 Page 11 of 15 3 将指定文件以及信息写入.fls文件 4 重写配置信息到Sync文件中 5 更换c2地址 6 更新是否上传文件参数 7 修改想获取的特殊文件类型,最初是office文件后缀 8 设置上传文件大小限制 9 指定上传文件 10 返回 定时器2主要功能为上传获取的信息文件。 https://www.secrss.com/articles/26507 Page 12 of 15 溯源关联 奇安信红雨滴团队结合威胁情报中心ALPHA平台,对此次捕获的样本攻击手法,代码等方面关联分析发 现,此次攻击活动中使用的代码与响尾蛇组织存在高度相似性。 https://www.secrss.com/articles/26507 Page 13 of 15 同时,其C2服务器相关信息在威胁情报中心ALPHA平台已有响尾蛇组织相关标签。 总结 响尾蛇APT组织近年一直高度活跃,其攻击链也较为复杂,采用多层解码内存加载,且其最终恶意dll仍 是解密内存加载,并未落地,能一定程度上避开杀软检测。疫情尚未结束,意味着利用疫情的网络攻击 活动也并不会就此缩减,奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接, https://www.secrss.com/articles/26507 Page 14 of 15 不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件。做到及时备份重要文件,更新安装补 丁。 若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台 (https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的 多种格式文件深度分析。 目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、 天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。 IOC 2ba61596f9ec352eebe6e410a25867f6 3ad3ddc1e8ada7f6a4fe0800b578ee4a 5fda277b43aed849b9fb6c5b907e5620 https://cdn-sop.net/202/wGpm0RzJrMtEAvPiWk2eF4gXwOLYsphJ7KTx4Dyg/-1/13856/a042ecbe 参考链接 https://ti.qianxin.com/blog/articles/the-recent-rattlesnake-apt-organized-attacks-on-neighboring-countries-and-regions/ 声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内 参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。 Source: https://www.secrss.com/articles/26507 https://www.secrss.com/articles/26507 Page 15 of 15