SideWinder利用服务器端多态性攻击巴基斯坦政府官员，目前目标是土耳其

总结

黑莓威胁研究和情报团队一直在积极跟踪和监测SideWinder公司APT集团发现了他们针对巴基斯坦政府组织的最新活动。

在这次活动中，SideWinder高级持久威胁（APT）小组使用了基于服务器的多态性技术来交付下一阶段的有效负载。

MITRE ATT&CK®简介

战术	技术
执行	T1204.002、T1059.007、T1203、T1047
防御规避	T1480、T1221、T1027、T1140
指挥与控制	T1105、T1071.001
发现	T1518.001号

武器化和技术概述

武器	模糊JavaScript、PE可执行文件
攻击向量	用于目标攻击的武器化文档
网络基础设施	分布式数据库
目标	巴基斯坦政府组织

技术分析

上下文

SideWinder APT集团，也称为剃须鲸、响尾蛇和T-APT-04，自2012年以来一直积极瞄准巴基斯坦政府组织。

SideWinder被认为是最古老的民族国家威胁行动者之一源自印度。至少自2012年以来，该集团一直活跃在军事、政府和商业实体中，重点关注巴基斯坦、阿富汗、中国和尼泊尔。SideWinder主要利用电子邮件矛头攻击、文档利用和DLL并行加载技术以避免被发现并提供目标植入物。

通过我们的威胁搜索工作，黑莓威胁研究和情报团队发现了SideWinder小组的一个新恶意软件活动。该活动使用了服务器端多态性技术。该技术的使用允许威胁行为体潜在地绕过传统的基于签名的防病毒（AV）检测，以交付下一阶段的有效载荷。

攻击向量

MD5公司沙256	666磅/平方英寸 cd09bf437f46210521ad5c21891414f236e29aa6869906820c7c9dc2b565d8
文件名	2023年巴基斯坦海军战争学院（PNWC）杂志指南.docx
文件大小	12.81 KB（13115字节）
已创建	2022-11-30 04:52:00 UTC
作者	Windows用户
上次修改时间	2022-11-30T05:44:00Z
上次修改者	Windows用户

什么是服务器端多态性？

服务器端多态性是恶意软件的威胁参与者和其他分发者使用的一种技术，试图逃避防病毒扫描程序的检测。多态（字面意思是“许多形状”）恶意软件是通过加密和模糊处理改变其外观的恶意代码，确保没有两个样本看起来相同。基于签名的传统或遗留AV软件很难捕捉到这种类型的恶意软件，因为转换代码对于安全分析来说是不可见的。虽然这是一种未来主义的声音，但实际上它是一种较古老的技术，自20世纪90年代初以来就被威胁行为体所使用。

活动分析

SideWinder APT小组于2022年11月下旬开始了利用服务器端多态性交付下一阶段有效负载的新活动。此次活动中使用的恶意文件是针对巴基斯坦政府官员编制的。这些文件旨在通过展示与巴基斯坦官员利益相关的令人信服的内容来欺骗巴基斯坦官员。

在调查期间，黑莓威胁研究和情报小组分析了威胁组织使用的文件，以确定本次活动中使用的各种人工制品，从而可能找到其他感兴趣的文件。我们检查的第一个恶意诱饵是一份题为“信标杂志指南——2023年巴基斯坦海军战争学院（PNWC）”的文件。

图1：针对巴基斯坦官员的恶意引诱文件

MD5公司沙256	b853ae547346在d06290635cf6之前 bc9d4eb09711f92e4e60efcf7e48906dca6bf239841e976972fd74dac412e2f
文件名	PK_P_GAA_A1_提供.docx
文件大小	36.35 KB（37220字节）
已创建	2022-12-06 05:24:37协调世界时
作者	Windows用户
上次修改时间	2022-12-06T05:24:37Z
上次修改者	Windows用户

2022年12月初使用的另一个恶意文档名为“PK_P_GAA_A1_Offerred.docx”。在这种情况下，这份文件长达八页，假装是一封“购买国防用品、国防服务或两者兼而有之”的要约和承诺书

图2:SideWinder APT组发送的第一个恶意诱饵

值得注意的是，这些文档都没有使用嵌入的恶意宏代码来传递下一阶段的有效负载；相反，威胁集团利用CVE-2017-0199漏洞（远程模板注入）。

“巴基斯坦海军战争学院2023年新闻指南（PNWC）.doc”恶意诱饵模板被指示访问远程地址“hxxps[：]//PNWC[.]bol-north[.]com/5808/1/3686/2/0/0/0/m/files-a2e589d2”/文件[.]rtf”. 此实例中的“pnwc[.]bol-north[.]com”域解析为IP地址5.230.73[.]106。

图3：下一阶段下载的URL

指示“PK_P_GAA_A1_Offered.docx”恶意诱饵模板联系到“hxxps[：]//paknavy-gov-pkp[.]downd[.]net/14578/1/6277/2/0/0/m/files-75dc2b1e”的远程地址/文件[.]rtf“下载下一阶段。“paknavy-gov-pk[.]downd[.]net”域解析为IP地址185.205.187[.]234。

图4：下一阶段下载的URL

当恶意服务器处于活动状态时，此威胁组将其服务器设置为这样一种方式：如果用户/受害者将恶意URL的一部分输入到浏览器中，他们将被重定向到合法的巴基斯坦海军主页，是hxxps[：]//www[.]paknavy[.]gov[.]pk。需要注意的是，恶意服务器不再活动。

图5：合法的巴基斯坦海军网站。受害者被从恶意页面重定向到此站点。

三月初，我们发现了一份新的文档，该文档也通过网络钓鱼电子邮件传播。这个OLE文档的独特之处在于，它包含了与恶意服务器的连接地址，该服务器也被配置为与来自土耳其的受害者连接。

MD5公司沙256	b7e63b7247be18cdfb36c1f3200c1dba 8af93bed967925b3e5a70d0ad90eae1f13bc6e362ae3dac705e984f8697aad
文件名	产品.docx
文件大小	579.69 KB（593604字节）
已创建	2023-03-07 13:54:00 UTC
作者	用户
上次修改时间	2023-03-07 T13:56:00Z
上次修改者	用户

武器化

下一阶段的有效载荷“file.rtf”是一个富文本文档文件，只能由巴基斯坦IP范围内的用户下载。值得注意的是，在这两种情况下，只有文件名“file.rtf”和文件类型是相同的；然而，内容、文件大小和文件散列是不同的。这是一个基于服务器的多态性示例，每次服务器响应时都会使用不同版本的文件，从而绕过受害者的防病毒扫描程序（假设防病毒使用基于签名的检测）。

如果用户不在巴基斯坦IP范围内，服务器将返回一个8字节的RTF文件(文件.rtf)它包含一个字符串：{\rtf1}。但是，如果用户在巴基斯坦IP范围内，则服务器会返回RTF有效负载，其大小在406KB到414KB之间。

图6：“file.rtf”恶意负载

装载机

在从“paknavy-gov-pk[.]downd[.]net”域获得的“file.rtf”文件中列出了现有对象后，提取“1.a”对象以进行进一步分析。

图7：“1.a”对象概述

在恶意软件执行链期间，此对象保存在受害者计算机上的“C:\Users\user\AppData\Local\Temp\1.a”位置下。“1.a”文件是一个模糊处理的JavaScript。

图8：脱泡管柱

从我们的分析中可以看出两件事：base64编码的数据blob和两个URL。base64数据blob解码为Win32 DLL（App.DLL），这两个URL用于与威胁参与者进行进一步通信。

图9：用于与SideWinder进一步通信的URL

代理人

前面提到的base64编码数据blob是一个。NET编译的Win32 DLL称为“App.DLL”。

哈希（md5，sha-256）	8934f22ed2d4390f2e6170e4cfdbd483 b718a12f76768ba29849a6f4a6caff1dc8ba8bcdcd8efc7fe2e8fdb8
ITW文件名	应用.dll
编制印章	11月16日星期五02:26:21 2074
文件类型/签名	动态链接库
文件大小	139339（字节）
编译器名称/版本	Microsoft Visual C#/Basic。净值

为了进一步避免基于静态签名的检测，“App.dll”文件采用与本次活动中发现的大多数其他文件和脚本相同的方式进行模糊处理。

图10：“App.dll”文件

“App.dll”文件由早期JavaScript代码启动。JavaScript将反序列化。NET二进制文件，并将URL传递给可执行文件的“Work（）”函数。此函数向URL发出请求，并尝试解密然后执行响应。换句话说，就是。NET可执行文件可以检索下一阶段的代码并执行它。

网络基础设施

SideWinder的战役指挥与控制（C2）基础设施只在短时间内运行。至少自2021年1月以来，来自托管RTF文件的系统的非巴基斯坦IP响应是相同的，其中包含一个8字节的文件{\rtf1}作为内容。遵循中的关系病毒总数显示了分销基础设施和类似活动的寿命。有28个域名在野生环境中托管这个空的RTF文件，所有这些域名都具有用于托管的类似URL。

对于这些活动，SideWinder在托管其恶意文件时还使用可预测的URL结构：

第一阶段-*/2/0/0/*/files-*/（hta|file.rtf）
第二阶段-*/3/1/1/*/文件-*/

这些战术、技术和程序（TTP）的使用寿命将近2年，这让我们相信，它们可以用于检测未来的战役。

2023年3月中旬，我们发现了一个新配置的服务器，用于传递有效负载。这台服务器的不同之处在于，它的配置使土耳其的受害者可以接收第二级有效载荷。这表明，这一威胁行动者现在也在针对土耳其的组织。

目标

SideWinder集团的主要目标仍然是巴基斯坦政府组织。2023年3月初，黑莓调查的这场运动将土耳其确定为新的目标。

归因

SideWinder APT集团的主要目标是东南亚地区，如巴基斯坦和斯里兰卡；然而，巴基斯坦的政府机构仍然是他们感兴趣的主要目标。

结论

本报告讨论了SideWinder集团在2022年12月初进行的目标攻击。针对土耳其的最新SideWinder活动与最近的发展地缘政治；具体来说，在土耳其巴基斯坦的支持以及随之而来的反应来自印度。

黑莓威胁研究和情报团队正在积极监控该威胁组织的工具和恶意文件。为了维护者和网络安全专业人员的利益，我们在本次活动中发现的所有文件和网络文物都列在下面的附录中。我们希望这些数据将有助于提供保护和预防措施。

附录1–妥协指标（IoC）

指示器类型	指示器
MD5公司	b7e63b7247be18cdfb36c1f3200c1dba
沙256	8af93bed967925b3e5a70d0ad90eae1f13bc6e362ae3dac705e984f8697aad
MD5公司	5efddbdcf40ba01f1571140bad72dccb
沙256	a45258389a3c0d4615f3414472c390a0aabe77315663398ebdea270b59b82a5c
MD5公司	b853ae547346在d06290635cf6之前
沙256	bc9d4eb09711f92e4e60efcf7e48906dca6bf239841e976972fd74dac412e2f
MD5公司	666b2b178ce52e30be9e69de93cc60a9
沙256	cd09bf437f46210521ad5c21891414f236e29aa6869906820c7c9dc2b565d8
MD5公司	ef00004a1ebc262ffe0fb89aa5524d42
沙256	a3283520e04d7343ce9884948c5d23423499fa61cee332a006db73e2b98d08c3
MD5公司	6c7d24b90f3c6b4383bd7d08374a0c6f
沙256	4db0a2d4d011f43952615ece8734cafc889e7ec958acd803a6c68b3e0f94eea
MD5公司	73750f08265bbe80c3f235318bcef6fe
沙256	bc3c6f9d51e2bdb37e03b01e2949f72836ecee4230e2320c5dc33a83b55b062f
MD5公司	16341fcff1bc7388387fd17b4b3a7a50
	cf1f4ec1d7db6cf1fe8e15687b348a279889689fa9c387de4a2c310c34336f9f
MD5公司	c62441de076eb5ab2e1f8146767777
沙256	75079e408ca9517825ffac396680a2d2169d691be3f1adbbd797e05e665c6fde
MD5公司	dacdb33b6e9de4c1fe8591bb5a65c55c
沙256	cde768a4cf95e58f0e98e2bcca0663fd2c1a36510f6010065b4f54169a92e207
MD5公司	709e6a64735432c25咖啡89951cc149c
沙256	196fa8年6月6日第72次会议第48次会议第4775108次会议第746e0f83c5a7498次会议
统一资源定位地址	hxxps[：]//paknavy-gov-pkp[.]downd[.]网络/14578/1/6277/2/0/0/m/files-75dc2b1e/file[.]rtf
统一资源定位地址	hxxps[：]//pnwc[.]bol-north[.]com/5808/1/3686/2/0/0/m/files-a2e589d2/file[.]rtf
IP（IP）	185.205.187[.]234
IP（IP）	5.230.73[.]106
统一资源定位地址	https[：]//cstc-spares-vip-163.dowmload[.]net/14668/1/1228/2/0/0/m/files-403a1120/file[.]rtf
统一资源定位地址	https[：]//mtss.bol-south[.]org/5974/1/8682/2/0/0/0/m/files-b2dff0ca/file[.]rtf
统一资源定位地址	https[：]//paknavy-gov-pk[.]downd[.]net/14578/1/6277/2/0/0/m/files-75dc2b1e/file[.]rtf
统一资源定位地址	hxxts[：]//paknavy-gov-pk[.]downd[.]网络/14578/1/6277/2/0/0/m/files-75dc2b1e/file[.]rtf
统一资源定位地址	hxxts[：]/pnwc[.]bol north[.]com/5808/1/3686/2/0/0/m/files-a2e589d2/file[.]rtf
统一资源定位地址	hxxts[：]//sl-navy[.]office-drive[.]live/45/1/334/2/0/0/m/files-fe9dade2/file[.]rtf
统一资源定位地址	hxxts[：]//forecast[.]comsats-net[.]com/5760/1/5041/2/0/0/m/files-dd96433f/file[.]rtf
统一资源定位地址	https[：]//forecast[.]comsats-net[.]com/5760/1/5039/2/0/0/0/m/files-d7c7dda1/file[.]rtf
统一资源定位地址	hxxts[：]//forecast[.]comsats-net[.]com/5760/1/5035/2/0/0/m/files-4a0480ae/file[.]rtf
统一资源定位地址	hxxts[：]//moma[.]comsats-net[.]com/5753/1/4375/2/0/0/m/files-8062311a/file[.]rtf
统一资源定位地址	hxxts[：]//forecast[.]comsats-net[.]com/5760/1/5040/2/0/0/m/files-f3b20b30/file[.]rtf
统一资源定位地址	hxxts[：]//forecast[.]comsats-net[.]com/5760/1/5036/2/0/0/m/files-2ad09cbd/file[.]rtf
统一资源定位地址	hxxts[：]//moma[.]comsats-net[.]com/5753/1/4371/2/0/0/m/files-b62d382f/file[.]rtf
统一资源定位地址	hxxts[：]//srilanka-navy[.]lforvk[.]com/135/1/334/2/0/0/m/files-4fdaf6c7/file[.]rtf
统一资源定位地址	hxxts[：]//promotionlist[.]comsats-net[.]com/5756/1/8887/2/0/0/m/files-3d1dff0f/file[.]rtf
统一资源定位地址	hxxts[：]//dgms[.]paknavy-gov[.]com/5733/1/5051/2/0/0/m/files-73bdca4d/file[.]rtf
统一资源定位地址	hxxts[：]//mofadividion[.]ptcl-gov[.]com/5724/1/3268/2/0/0/m/files-11e30891/file[.]rtf
统一资源定位地址	hxxts[：]//ksew[.]kpt-gov[.]org/5663/1/3275/2/0/0/m/files-937950ad/file[.]rtf
统一资源定位地址	hxxts[：]//ministryoforeghaffairs-mofa-gov-pk[.]dytt88[.]org/1444/1/2454/2/0/0/m/files-9ba90b7f/file[.]rtf
统一资源定位地址	hxxt[：]//bdmil[.]alit[.]live/3398/1/50073/2/0/0/0/m/files-ac995f17/file[.]rtf
统一资源定位地址	hxxt[：]//navy-mil-bd[.]jmicc[.]xyz/5625/1/8145/2/0/0/0/m/files-b11074b7/file[.]rtf
统一资源定位地址	hxxts[：]//navy-mil-bd[.]jmicc[.]xyz/5625/1/8145/2/0/0/0/m/files-b11074b7/file[.]rtf
统一资源定位地址	hxxts[：]//paknavy[.]jmicc[.]xyz/5627/1/4367/2/0/0/m/files-9e0912cc/file[.]rtf
统一资源定位地址	hxxt[：]//bdmil[.]alit[.]live/3398/1/54346/2/0/0/m/files-491dc489/file[.]rtf
统一资源定位地址	hxxts[：]//paknavy[.]comsats[.]xyz/5552/1/5037/2/0/0/m/files-1bc7556/file[.]rtf
统一资源定位地址	hxxts[：]//mofa-gov[.]内部-pk[.]org/14419/1/6/2/0/0/m/files-07b01f9b/file[.]rtf
统一资源定位地址	hxxt[：]//mofa-gov[.]内部-pk[.]org/14419/1/6/2/0/0/m/files-07b01f9b/file[.]rtf
统一资源定位地址	hxxts[：]/巴基斯坦海军[.]巴基斯坦海军[.]live/5516/1/4367/2/0/0/m/files-db71f6b3/file[.]rtf
统一资源定位地址	hxxts[：]//mofabn[.]ksewpk[.]com/5511/1/4993/2/0/0/m/files-18e5db65/file[.]rtf
统一资源定位地址	hxxt[：]//srilankanavy[.]ksew[.]org/5471/1101/2/0/0/m/files-cd6e6dbd/file[.]rtf
统一资源定位地址	hxxts[：]//srilankanavy[.]ksew[.]org/5471/1101/2/0/0/m/files-cd6e6dbd/file[.]rtf
统一资源定位地址	hxxt[：]//maritimepakistan[.]kpt-pk[.]net/5434/1/3694/2/0/0/m/files-ce32ed85/file[.]rtf
统一资源定位地址	hxxts[：]//maritimepakistan[.]kpt-pk[.]net/5434/1/3694/2/0/0/m/files-ce32ed85/file[.]rtf
统一资源定位地址	hxxt[：]/dgmp-paksnavy[.]mod-pk[.]com/14325/1/10/2/0/0/m/files-5291bef6/file[.]rtf
统一资源定位地址	hxxts[：]//dgmp-paknavy[.]mod-pk[.]com/14325/1/10/2/0/0/m/files-5291bef6/file[.]rtf
统一资源定位地址	hxxt[：]//dgpr[.]paknvay-pk[.]网络/5330/1/1330/2/0/0/m/files-4d9d0395/file[.]rtf
统一资源定位地址	hxxts[：]//cabinet-gov-pk[.]部门-pk[.]net/14300/1/1273/2/0/0/m/files-68ebf815/file[.]rtf
统一资源定位地址	hxxts[：]//dgpr[.]paknvay-pk[.]网络/5330/1/1330/2/0/0/m/files-4d9d0395/file[.]rtf
统一资源定位地址	hxxts[：]//careitservices[.]paknvay-pk[.]net/5359/1/4586/2/0/0/0/m/files-266ad911/file[.]rtf
统一资源定位地址	hxxts[：]//defencelk[.]cvix[.]live/3023/1/54082/2/0/0/m/files-0c31ed2d/file[.]rtf
统一资源定位地址	hxxt[：]//mohgovsg[.]巴哈里亚基金会[.]live/5320/1/13/2/0/0/m/files-1ddf5195/file[.]rtf
统一资源定位地址	hxxts[：]//mohgovsg[.]巴哈里亚基金会[.]live/5320/1/13/2/0/0/m/files-1ddf5195/file[.]rtf
统一资源定位地址	hxxts[：]//sppc[.]moma pk[.]org/5281/1/4265/2/0/0/m/files-d2608a99/file[.]rtf
统一资源定位地址	hxxps[：]//mailrta.mfagov[.]org/3818/1/53382/2/0/0/m/files-c78a6966/file[.]rtf
统一资源定位地址	http://mailnavybd.govpk[.]net/5845/1/12/2/0/0/m/files-ca78574e/file[.]rtf
统一资源定位地址	hxxts[：]//mailaplf[.]cvix[.]live/2968/1/50390/2/0/0/m/files-7630e91a/file[.]rtf
统一资源定位地址	hxxt[：]//slpa[.]mod-gov[.]org/5946/1/5775/2/0/0/0/m/files-fca3cc50/file[.]rtf
统一资源定位地址	hxxt[：]//slpa[.]mod-gov[.]org/5946/1/5780/2/0/0/0/m/files-20bba5af/file[.]rtf
统一资源定位地址	hxxt[：]//slpa[.]mod-gov[.]org/5946/1/5795/2/0/0/0/m/files-c9dddc54/file[.]rtf
统一资源定位地址	hxxt[：]//slpa[.]mod-gov[.]org/5946/1/5797/2/0/0/0/m/files-875e140b/file[.]rtf
统一资源定位地址	hxxt[：]//slpa[.]mod-gov[.]org/5946/1/5771/2/0/0/0/m/files-5995311a/file[.]rtf
统一资源定位地址	hxxt[：]//slpa[.]mod-gov[.]org/5946/1/5784/2/0/0/0/m/files-94153639/file[.]rtf
统一资源定位地址	hxxt[：]//slpa[.]mod-gov[.]org/5946/1/5770/2/0/0/0/m/files-2d21c32e/file[.]rtf
统一资源定位地址	hxxt[：]//slpa[.]mod-gov[.]org/5946/1/5778/2/0/0/0/m/files-27d5c7d3/file[.]rtf
统一资源定位地址	hxxt[：]//mailnavymilbd[.]govpk[.]net/5848/1/13/2/0/0/m/files-57d837e4/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5792/2/0/0/0/m/files-da7756e4/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5776/2/0/0/0/m/files-175c56e7/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5783/2/0/0/0/m/files-a26663eb/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5780/2/0/0/0/m/files-20bba5af/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5785/2/0/0/0/m/files-76f11745/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5788/2/0/0/0/m/files-3acec3be/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5782/2/0/0/0/m/files-78d7e141/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5796/2/0/0/0/m/files-97e02960/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5795/2/0/0/0/m/files-c9dddc54/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5790/2/0/0/0/m/files-a3d0041a/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod gov[.]org/5946/1/5773/2/0/0/m/files-5a31d681/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5799/2/0/0/0/m/files-03dd18bd/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5781/2/0/0/0/m/files-62caea91/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5804/2/0/0/0/m/files-c43dece3/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/594/1/5794/2/0/0/m/files-60cb1621/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5775/2/0/0/0/m/files-fca3cc50/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod gov[.]org/5946/1/5778/2/0/0/m/files-27d5c7d3/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5787/2/0/0/0/m/files-fb528413/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5786/2/0/0/0/m/files-5def1d52/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5798/2/0/0/0/m/files-c3178f3d/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5779/2/0/0/0/m/files-2f2e186d/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5789/2/0/0/0/m/files-8822f8ff/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5777/2/0/0/0/m/files-7f2e758b/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5791/2/0/0/0/m/files-bda6f896/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5769/2/0/0/0/m/files-2f6b9c9a/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod gov[.]org/5946/1/5774/2/0/0/m/files-12eca223/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5772/2/0/0/0/m/files-84c4942a/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5771/2/0/0/0/m/files-5995311a/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5797/2/0/0/0/m/files-875e140b/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5784/2/0/0/0/m/files-94153639/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5770/2/0/0/0/m/files-2d21c32e/file[.]rtf
统一资源定位地址	hxxts[：]//slpa[.]mod-gov[.]org/5946/1/5793/2/0/0/0/m/files-f2d0617e/file[.]rtf
统一资源定位地址	hxxts[：]//mailrta[.]mfagov[.]org/3818/1/53382/2/0/0/m/files-c78a6966/file[.]rtf
统一资源定位地址	hxxt[：]//promotionlist[.]comsats-net[.]com/5756/1/8887/2/0/0/m/files-3d1dff0f/file[.]rtf
统一资源定位地址	hxxts[：]//mailnavymilbd[.]govpk[.]net/5848/1/13/2/0/0/m/files-57d837e4/file[.]rtf
统一资源定位地址	hxxt[：]//mailnavybd[.]govpk[.]net/5845/1/12/2/0/0/m/files-ca78574e/file[.]rtf
域	slpa.mod-gov[.]组织
IP（IP）	62.113.255[.]80
域	mailrta.mfagov[.]组织
IP（IP）	194.61.121[.]216
域	promotionlist.comsats-net[.]com网站
IP（IP）	5.255.104[.]32
域	mailnavybd.govpk[.]net
IP（IP）	5.255.112[.]194
域	mailnavymilbd.govpk[.]net

附录2–应用对策

YARA规则

可根据要求提供（见下文）。

苏里卡塔规则

可根据要求提供（见下文）。

免责声明：本报告的私人版本可根据要求提供。它包括但不限于完整和上下文的MITRE ATT&CK®映射、MITRE D3FEND™对抗、MITRE的攻击流，以及工具、网络流量、完整IOC列表和系统行为的其他威胁检测内容。请发送电子邮件至cti@blackberry.com了解更多信息。

关于黑莓研究与情报团队

黑莓研究与情报团队检查新出现的和持续存在的威胁，为维护者及其服务的组织提供情报分析。

后退