响尾蛇黑客在过去两年中发起了1000多起网络攻击

一个名为络筒机自2020年4月以来，与1000多起新的袭击事件有关。

网络安全公司卡巴斯基（Kaspersky）在本月于黑帽亚洲（Black Hat Asia）发布的一份报告中表示：“这一威胁行为体的一些主要特征使其脱颖而出，即其攻击的数量之大、频率之高、持续性之强，以及其操作中使用的大量加密和模糊恶意组件。”

响尾蛇又名响尾蛇或T-APT-04，据说至少从2012年起就开始活跃，其目标是阿富汗、孟加拉国、尼泊尔和巴基斯坦等中亚国家的军事、国防、航空、IT公司和律师事务所。

卡巴斯基（Kaspersky）上月末发布的2022年第1季度APT趋势报告显示，威胁行为者正在积极将其目标的地理范围扩大到其他国家和地区，超出其传统的受害者概况，包括新加坡。

人们还观察到，响尾蛇（SideWinder）利用正在进行的俄罗斯-乌克兰战争，在其网络钓鱼活动中诱饵散布恶意网络安全软件和窃取敏感信息。

敌对集团的感染链以合并恶意软件操纵的文档而著称，这些文档利用Microsoft Office（CVE-2017-11882）等式编辑器组件中的远程代码漏洞在受损系统上部署恶意有效载荷。

此外，SideWinder的工具集采用了几个复杂的模糊处理例程、为每个恶意文件使用唯一密钥的加密、多层恶意软件，以及将命令和控制（C2）基础结构字符串拆分为不同的恶意软件组件。

三阶段感染序列从恶意文档丢弃HTML应用程序（HTA）负载开始，随后加载。NET模块安装第二阶段HTA组件，该组件旨在部署。基于NET的安装程序。

在下一个阶段，这个安装程序将负责在主机上建立持久性并在内存中加载最终后门。就植入物而言，它能够获取感兴趣的文件以及系统信息等。

在过去两年中，威胁行为者使用了不少于400个域和子域。为了添加额外的隐藏层，C2域使用的URL被分为两部分，第一部分包含在中。NET安装程序，后一半在第二阶段HTA模块内加密。

卡巴斯基的努欣·沙巴布（Noushin Shabab）说：“这个威胁行为者使用各种感染媒介和先进的攻击技术，具有相对较高的成熟度。”他敦促各组织使用最新版本的Microsoft Office来减轻此类攻击。