目录
一、攻击活动分析 (上篇)
1.概述
2.攻击入口
3.代码执行
4.持久化
5.任务活动
6.通讯分析
二、具体行动解析
4.APT-C-24 响尾蛇
5.APT-C-35 肚脑虫
6.针对移动端的攻击
三、组织体系及运作分析
1. 攻击活动与地缘政治局势
2. 蔓灵花与肚脑虫关联
3. 摩诃草与肚脑虫关联
4. 各组织间存在资产共享
四、展望与启示
背景概述
蔓灵花(APT-C-08)APT组织是一个长期针对南亚、东亚地区的国家进行攻击活动的APT组织,主要攻击政府、电力和军工行业相关单位,以窃取敏感信息为主,具有强烈的政治背景,是目前较活跃的境外APT组织之一。
该组织在载荷投递上手法多样,包括LNK文件,CHM文件,自解压程序,漏洞文档等。但其在代码执行过程中则几乎都会使用Downloader作为中间组件。在今年下半年,蔓灵花则通过计划任务周期性启动msiexec.exe向远程服务器请求msi文件的方式来代替Downloader的下载功能。
相比往年,蔓灵花在今年还使用了多种公开的远控程序,如WarzoneRAT, DarktrackRAT, AsyncRAT, QuasarRAT等,导致其难以从代码层面进行溯源归类。
同时,蔓灵花延续了去年克隆目标国家的敏感部门及企业的邮箱系统网页的攻击方式。通过在邮件中附上指向仿冒邮箱系统的链接,诱导攻击目标进行登录,从而达到窃取登陆凭证的目的。
技战术分析
攻击过程总结:
第二部分则主要涉及少数有恶意代码程序投递的情况,其流程大致如下:
在今年下半年,则通过CHM文件中内嵌脚本创建计划任务,周期性运行msiexec.exe请求执行远程MSI文件的方式来替换Downloader。
邮箱钓鱼分析:
如上所述,在2020年间蔓灵花一个较特别的攻击活动为通过仿冒机构的邮箱门户,在投递邮件附上相应链接诱导目标用户访问并登录,窃取用户邮箱的登录凭证。
其攻击活动主要分两个波次,第一次为2020年7月左右,第二次为2020年12月开始。
对于今年发现的钓鱼邮箱网页,我们总结了其特点如下:
钓鱼邮箱部署在特定的路径上,直接访问域名则返回403。
针对目标的真实域名进行模仿的规律
第二类则是直接将域名作为URL链接中的一部分,同时配合短域名进行投递:
通过Github部署钓鱼网站,在完成钓鱼后,删除Github账号。
在具体攻击方式上,其模式大致如下:
攻击者使用其窃取的正常邮箱账户,向受害者发送钓鱼邮件,邮件内容通常是伪造的通知,同时在邮件中携带仿冒的链接,用户被诱导点击链接后,其跳转到仿冒的邮箱登录门户页面。用户输入邮箱账户密码导致账户被窃取。
攻击者通过窃取凭据登录到受害者的单位邮件系统,进行敏感信息窃取,同时也获取了大量的组织联系人信息,为进一步攻击提供了有力的情报支撑。
核心恶意代码分析:
作为恶意逻辑执行核心点的Downloader实际存在较多版本,但具体功能逻辑均高度相似,因此以一类Downloader作为举例说明。
该种Downloader使用C#编写,启动后会通过检测带有字符“avp”进程来选择持久化的方式,
若不存在,则将复制自身到目录”%appdata%\”下。并通过powershell创建注册表启动项,通过”rundll32.exeSHELL32.dll,ShellExec_RunDLL”打开可执行文件,从而启动实现自启动。
若存在,则将自身复制到目录“%appdata%\Microsoft\Windows\Templates\“,并创建环境变量”tempf“指向该路径。然后通过cmd.exe创建注册表启动项,在注册表启动项中执行命令"cmd /c start %tempf% && exit",从而实现自启动。
通过WMI接口获取设备信息,并通过以下格式进行拼接:
Ox0001=计算机名&Ox0010=用户名&Ox0011=操作系统版本[操作系统架构]&Ox0100=mac地址&Ox0101=mac地址
Downloader代码片段
Downlaoder代码片段
下标 | 功能 |
0 | 指定文件名 |
1 | 无 |
2 | 字符“1“到”4“,用于设置不同的目录 |
字符对应路径如下:
字段 | 对应路径 |
“1“ | History目录 |
“2“ | ApplicationData目录 |
“3“ | Templates目录 |
“4“ | C:\Windows\debug\WIA\ |
null | ApplicationData目录 |
从服务器下载文件后,判断是否为可执行文件。若是的话,打开该文件;若不是的话,则重命名为“.txt“,然后读入内存反射加载,并将执行结果发送至服务器。
执行结果对应字段对应含义如下:
字段 | 含义 |
"000C" | 任务失败 |
"000D" | 任务完成 |
"000B" | 任务未完成 |
Downloader完成持久化之后,蔓灵花则会通过Downloader向目标设备下发功能组件的方式,完成对目标设备的控制。其中在今年我们捕获到后续的功能组件存在以下几种:
收集的用户信息如下:
本地语言 | 本地IP |
计算机名 | 用户名 |
操作系统名 | 操作系统Build版本号 |
操作系统位数 | 操作系统补丁包版本号 |
操作系统的注册用户名 | 操作系统产品密钥 |
系统目录 | 操作系统所在盘符 |
操作系统可用的物理内存大小 | CPU信息 |
可用于TCP/IP通讯的MAC地址 |
将搜集的信息加密后发送至服务器,并与服务器进行交互。交互指令对应功能如下:
3. USB文件搜集器
程序启动后会创建窗口程序,在窗口程序的回调函数中接收设备接入消息WM_DEVICECHANGE。在设备接入后,遍历文件数据,将指定格式的文件拷贝至指定路径。
其搜集的文件类型如下:
txt | 7z | zip | |
jpg | rar | doc | docx |
rtf | ppt | xls | bmp |
xlsx |
4. 信息搜集器
遍历磁盘获取文档搜集文件信息上传至服务器,其中文件主要涉及neat,logins.json,key3.db等浏览器敏感文件相关,以及各类文档文件。
第二类恶意程序则是以使用公开的远控程为主。其主要为修改恶意程序的图标,伪装为正常文件,通过邮箱进行投递。
使用的远控程序有如C#编写的AsyncRAT和QuasarRAT以及使用Delphi编写的DarktrackRAT。
DarktrackRAT
以及公开售卖的商业黑客工具WarzoneRAT。
WarzoneRAT在交互的时候,会使用Key “warzone160” 对数据进行RC4加密后与服务器进行交互。
此外,在对该部分样本进行持续检测的过程中,我们发现蔓灵花组织会通过DarktrackRAT下发另一种特有的后门程序。其包含两种类型,其一为远控程序,运行后会复制自身到目录"C:\ProgramData\Drivers\"下,并在启动文件夹创建快捷方式实现驻留。
获取以下用户信息并发送至服务器。
进程信息 | 计算机名 |
用户名 | 是否虚拟环境 |
操作系统版本信息 | 磁盘信息 |
适配器信息 | 安装程序信息 |
近期打开文件路径 | 文档文件路径 |
发送消息时,会以以下格式拼接字符串,进行SHA256计算:计算机名-用户名-mac地址;
最后以下格式拼接数据信息,并发送至服务器,值得一提的是,该远控程序在发送数据时,强制发送1024字节,若数据不足1024字节,则使用空格填充。
是否是操作系统WORKSTATION(’1’/’0’)&操作系统主版本号&操作系统次版本号&是不是虚拟机(‘1’/’0’)&计算机名&用户名&mac地址&SHA256校验码。
连接成功后依次发送磁盘信息,适配器信息,进程信息,安装程序信息,近期打开文件信息,文档文件信息到服务器。
完成以上步骤后,使用以下指令与服务器循环进行交互。
第二种恶意代码为内存数据加载器,我们监测到的流程如下,通过白样本vlc.exe调用libvlc.dll。
趋势变化
蔓灵花在vlc.exe的白利用中加载的后门程序在2020/02/14和2020/02/28曾经访问过oldgoldcities[.]com,解析到的IP是104.223.76[.]220,该IP在最近一起很有影响力的诉讼案件中被提及。Facebook指责NSO Group 利用WhatsApp VoIP 漏洞CVE-2019-3568多次攻击其重点用户,并提出“有720次攻击的远程服务器IP地址为104.223.76[.]220。有3次攻击的远程服务器的IP地址为54.93.81[.]200”。
WhatsApp的工程师Claudio Gheorghe声明截图如下:
在今年九月份我们捕获到一起蔓灵花针对我国某军工企业的攻击。其中在随后释放的特码中其关联的CC是79.141.168.109: 4975。而这一IP同样在NCSC关于APT29的报告《Advisory: APT29 targets COVID-19 vaccine development》一文中提到。
组织背景
响尾蛇组织又名“Sidewinder”、“T-APT-04”、“APT-C-24”,是一支疑似来自南亚地区的APT组织,第一次在卡巴斯基在2018年一季度APT报告中被披露,卡巴斯基根据地域象征意义的动物将该组织命名为"响尾蛇"(SideWinder)。
在今年,响尾蛇在攻击目标方面和往年大体一致,主要围绕南亚、东亚国家的军工,能源以及外交等相关行业进行攻击。
值得一提的是,从图中可以看到六月份响尾蛇存在一个峰值,该时间点正逢今年6月20号XX大学自强计划公布初评结果,响尾蛇结合疫情,使用《疫情防控期间优秀教师推荐表》等相关文档针对XX大学多位招生办老师进行攻击。
技战术分析
攻击过程总结:
响尾蛇在2020年使用的攻击流程如下:
响尾蛇组织使用的攻击框架相对固定,主要使用lnk以及漏洞文档来进行攻击,通过js反射来加载.Net程序,最终通过白样本利用驻留在受害者设备上。
其中存在以下四种攻击流程:
劫持lnk文件目标程序路径,启动mshta.exe远程加载运行hta文件,通过hta文件反射加载.Net模块,从而释放并打开伪装文档,并下载第二个hta文件,在其中反射加载.Net模块,最终释放后门程序到设备上。
值得注意的是此处的LNK文件经过伪装,从属性中查看其执行的是cftmon.exe,但是实际上其执行的是mshta.exe。
lnk文件属性1
lnk文件属性2
2. CVE 2017-11882漏洞文档
在文档中利用了公式编辑器漏洞CVE 2017-11882,通过EQNEDT32.exe来执行shellcode,加载rtf释放在%TRMP%目录下的js脚本文件”1.a”,进一步释放后门程序到设备上。
除了以上三种攻击手法以外,在今年六月份响尾蛇针对XX大学招生办的攻击中,我们还曾捕获到一种昙花一现的攻击手法。
核心恶意代码分析:
虽然响尾蛇使用的攻击方式繁多,但最终安装部署使用的后门程序均为rekeywiz.exe的白利用,通过rekeywize.exe加载Duser.dll,进一步解密同一文件夹下的”.tmp”文件并加载至内存运行,通过创建两个定时器从服务器接收指令数据并执行对应功能,从而达到窃取设备上敏感信息的目的。
其指令对应功能如下:
指令 | 操作 |
1 | 在输出目录创建随机名字的".sif"文件,向其写入系统信息。 |
2 | 遍历磁盘,获取文件以及目录信息,在输出目录创建随机名字的".flc"文件,将数据写入该文件,并将后缀符合的文件名添加至文件列表。 |
3 | 在输出目录创建随机名字的".fls"文件,将在指令2中搜集的文件信息写入该文件 |
4 | 以接受的数据来重新初始化输出路径,交互服务器等。 |
5 | 设置交互的服务器域名 |
6 | 设置是否上传文件的标志位 |
7 | 设置搜集的文档文件后缀 |
8 | 设置搜集的文档文件最大字节数 |
9 | 添加指定文件到筛选后的文件列表,若以及存在该列表,则将上传的标志位置位,用以再次上传该文件。 |
此外,响尾蛇的后门程序在将数据转换为指令的时候,是通过调用Duser.dll中的Loader模块,将数据作为实例运行后得到的指令数据。
但实际,我们发现响尾蛇还会使用该功能下载其他后门程序组件,完成第二阶段的攻击驻留。其攻击流程如下:
在第二阶段的攻击驻留中,其使用的是C语言编写的Downloader,通过从远程服务器或注册表获取JavaScript脚本,反射加载.Net DLL。
在其下发的JavaScript脚本中,我们捕获到三个不同功能的组件,其名称与功能如下:
dll名称 | 功能 |
LiveConsoleModule.dll | 本地 TCP 服务器,监听本地 12323 端口,提供远程 Shell 功能 |
LiveFileManagerModule.dll | 本地 HTTP 服务器,监听本地 12380 端口,提供多种文件操作功能 |
ProxyModule.dll | 利用 WebSocket 隧道建立 Socks5 代理,为其他组件提供与服务器的交互通道 |
趋势变化
响尾蛇在近两年对于代码的框架以及攻击流程的变化并不大其中在恶意代码层面上,与往年存在区别如下:
中间组件JS脚本:
无论是在使用lnk文件还是CVE-2017-11882的rtf文件进行攻击时,均会使用到js脚本作为中间组件,其中该脚本中采用JavaScript内存反射加在.NET程序集的技术方法,该方法最早由James Forshaw在2017年公开,详情见GitHub项目DotNetToJScript。
相比以往,响尾蛇在今年的JS脚本中新增了以改造的Base64编码为主的解密算法对其脚本代码进行混淆。
但就如上面说到的其代码框架并未变化,其两者主体代码框架对比如下:
响尾蛇2019年样本
响尾蛇2020年样本
.Net模块&后门程序与JS脚本情况一致,无论是在攻击过程中使用的中间组件还是最终驻留的后门程序,响尾蛇在更新上,均采用的是在不影响代码框架的前提下提高代码混淆度。其中存在较大的变化主要为下半年,响尾蛇对其程序的函数进行了细化,并将函数名称加长。变化后的代码与19年代码对比如下:
响尾蛇2019年使用代码
响尾蛇2020年使用代码
在攻击目标方面,响尾蛇主要攻击目标依旧是围绕南亚、东亚地区国家展开攻击。其中12月份趋势发出的公开报告中指出,响尾蛇使用的钓鱼网站进行的攻击活动存在朝着其他南亚地区周边国家扩散的趋势。
组织背景
技战术分析
攻击过程总结:
肚脑虫在2020年使用的攻击流程如下:
核心恶意代码分析:
肚脑虫在各阶段恶意代码如下所示:
第一阶段:
在投递的远程模板注入文档文件被打开后,会远程加载带有“CVE2017-11882“的rtf文档。
C:\Program Files(x86)\avg |
C:\Program Files\avg |
C:\\Program Files\avast software |
第二阶段:
在Downloader中对第一阶段的dll程序文件进行删除。
b) 方式二:通过COM接口ITaskFolder :: RegisterTask创建计划任务,通过计划任务启动rundll32.exe调用“NumberAlgo.dll”。
若方式二失败,则通过cmd.exe启动schtasks来创建计划任务。
第三阶段:
在NumberAlgo.dll中,通过Google文档获取服务器信息。
若’ : ’后面的数值在0x5~0x20d0之间时,则会从服务器下载相应的组件到目录“%appdata%\EvMGR“下加载运行。其中dll部分的组件分为两个函数,其中plusadd函数为主要模块功能,plussub函数为修改flag,停止对应模块功能运行。
dll名称 | 功能 |
FrameCordi.dll | 记录键盘信息到目录“%AppData%\EvMGR\FrameCordi\FrameCordi\“,保存为”.wi”文件,并在其后通过AES加密,保存为.rvn文件中。 |
ScnPoint.dll | 获取屏幕截图,对其进行AES加密,并存储到目录“%AppData\%EvMGR\ScnPoint\ScnPoint\“,保存为”.rvn”文件 |
Dormode.dll | 收集指定后缀的文件,并将收集到的数据信息进行AES加密后上传到服务器 |
RMcom.dll | 遍历指定路径下的文件,判断文件后缀,将非文档文件拷贝到路径“%AppData%\EvMGR\RMCom\RMCom\Longer\“,并对其进行异或加解密 |
SRCPolicy.dll | 收集firefox浏览器账号密码信息,并对其进行AES加密后,保存到目录“%AppData%\EvMGR\SRCPolicy\SRCPolicy\“下。 |
COMEvent.dll | 上传其他组件收集的数据文件 |
趋势变化
在攻击活动变化上,肚脑虫主要集中在对于第一、二阶段中使用到的组件以及C&C进行更新。而从我们监测的结果来看,第三阶段所使用的C&C,使用周期明显长于前两个阶段,部分C2甚至可使用长达数月之久。
组件名(2020年) | 组件名(2019年) | 对应yty框架 |
NumberAlgo.dll | ProcessManager.dll | Boothelp.exe |
COMEvent.dll | NetworkConnect.dll | abode.exe |
ScnPoint.dll | VGAGraphics.dll | dspcheck.exe |
Dormode.dll | FolderOptions.dll | vstservice.exe |
南亚地区的APT组织也存在着大量的针对移动端的攻击活动,2020年间相关披露报告如下:
组织名称 | 报告日期 | 题目 |
肚脑虫 | 04.28 | 肚脑虫组织(APT-C-35)针对巴基斯坦的攻击活动[1] |
肚脑虫 | 10.29 | DoNot’s Firestarter abuses Google Firebase Cloud Messaging to spread[2] |
肚脑虫 | 10.30 | 肚脑虫组织( APT-C-35)疑似针对巴基斯坦军事人员的最新攻击活动[3] |
蔓灵花 | 04.17 | BitterAPT Revisited: the Untold Evolution of an Android Espionage Tool [4] |
响尾蛇 | 01.06 | First Active Attack Exploiting CVE-2019-2215 Found on Google Play, Linked to SideWinder APT Group[5] |
响尾蛇 | 12.09 | SideWinder Uses South Asian Issues for Spear Phishing, Mobile Attacks[6] |
从报告的数量不难看出,最为活跃的当数肚脑虫组织,该组织多次仿冒巴基斯坦流行的在线交友网站搭建钓鱼网站,如“RapidChat”,“LoveHabibi”等,在此类网站中提供实为黑客攻击软件的聊天APP软件下载。
而国外厂商CISCO在报告中提到肚脑虫组织使用的恶意软件Firestarter滥用Google FCM通知服务进行通信,通过这种新策略可以有效更新控制服务器地址,避免控制服务器地址失效,这一点与在Windows端肚脑虫通过Google云硬盘更新服务器地址的行为如出一辙。
此外Bitdefender的报告《BitterAPT Revisited: the Untold Evolution of an Android EspionageTool》一文中提到,蔓灵花组织同样精于类似的社工类攻击手法,通常伪装成语音,邮件,聊天,图像查看器等应用,利用Google Play作为其传播途径,获取目标用户通话记录,获取短信,获取位置信息等,并且还会还会攻陷的正规网站用于分发恶意程序。
值得注意的是,一如响尾蛇今年在Windows侧尝试”CVE-2017-0199”+”CVE-2020-0674 “的新型攻击手法,TrendMicro的报告中同样指出,响尾蛇在一个名为Camero的应用利用了CVE-2019-2215,该漏洞存在于Binder中,这是在野外首次利用所述UAF漏洞的实例。这两个事件表明了响尾蛇在攻击手法和技术手段上的尝试创新和突破。
综合上述信息,我们不难发现,南亚地区APT组织针对移动端的攻击,其主要的攻击对象同为南亚周边国家。攻击对象平台则是Android,攻击手法依旧是以仿冒APP,涉及社交和宗教软件,配合钓鱼网站和邮件诱导受害者安装后进行窃密活动。
南亚地区的APT组织众多,且一直保持高度的活跃状态。通过长时间的跟踪分析我们发现南亚地区各个组织间存在较密切的关联。
对于2020年主要活跃的南亚地区APT组织,从目标来看,其主要针对的国家仍是东亚和南亚地区国家。同时根据国外厂商相关报告描述,其攻击国家也涉及部分东南亚国家。其任务为窃密和收集情报,涉及行业也侧重国防和国家机构。
这与地缘政治局势表现出了强烈的正相关关系。
组织名称 | 目标行业 |
蔓灵花(BITTER) | 国防军工、科研、外交、教育、能源 |
摩诃草(HangOver) | 国防军工、国家机构、外交 |
响尾蛇(SideWinder) | 国防军工、科研、外交、教育、医疗、贸易 |
肚脑虫(Donot) | 国防军工、国家机构、外交 |
CNC | 国家机构、科研、教育、医疗 |
在2020年11月4号,我们捕获的蔓灵花组织相关样本“Suparco Vacancy Notification.docx”,与Donot存在高度相似性:
其两者执行流程如下:
在11月份,我们捕获了一个名为“New_Missile_Defense_Radar.doc”的恶意宏文档。
通过分析发现,其使用的宏代码与摩诃草之前使用的宏代码风格一致,且均无法在中文环境运行。
New_Missile_Defense_Radar.doc
历史摩诃草相关样本
历史Donot样本
释放的样本
在网络资产上,南亚地区各个组织间也存在着明显的联系:
从TTPs上进行分析,南亚地区攻击组织表现出一个明显的共同特征,即以使用鱼叉邮件攻击为主要手段。而通过实际判断,我们认为南亚地区组织在攻击情报上存在一定程度共享的可能:
首先,在攻击目标上,我们观察到部分组织的攻击目标存在重合;
在今年7月份时,我们曝光了响尾蛇组织针对XX大学的集中大规模攻击活动;而在12月我们捕获的蔓灵花组织第二次大规模邮件钓鱼行动中,我们发现部分针对高校的攻击邮件使用了真实的邮件账户,且来自于XX大学,因此我们推断其可能共享了部分邮箱账户信息。
在上述章节已经了解到,南亚地区APT组织在攻击活动中构造大量的恶意文档,且紧跟时事热点,这表明其背后很有可能存在一只专门进行情报收集分析的团队。
基于上述分析,我们能很清楚的看到,南亚地区的攻击组织在恶意代码及其技术技巧、C&C基础设施和目标情报信息方面存在着较明显的共享。这表明这些组织并不是完全独立运作的个体,在其之上可能存在更高层的领导机构来协调各个组织间的运作。
我们从这些攻击活动中看到了什么?
从技术方面上讲,我们监控到的源自南亚地区的大多数组织使用的恶意代码和攻击技术方法与之前并无太大差别,但是我们依旧观测到了攻击者在部分攻击环节提高技术能力的一些努力(详细请见具体行动解析章节中针对各个组织的趋势变化分析)——增加混淆、改进攻击流程等。
值得注意的是,我们首次观测到南亚地区组织使用了商业后门程序,例如WarZone和BOZOKRAT,并且发现了其与NSO等公司可能存在联系,这表明南亚地区组织已经开始从商业黑客公司中获取更强的攻击能力。
从攻击活动上讲,南亚地区组织具有明显的典型特征,其主要利用钓鱼邮件,擅长使用社会工程学手段,并且能紧跟时事热点信息,因此我们推断其背后可能有专门的情报分析小组。
另一个值得我们注意和警惕的是,其利用伪造邮件门户网站进行大规模的钓鱼的行为,并存在一定数量的受害者,同时结合其他攻击活动分析,我们认为其已经通过邮件系统窃取了相当多的敏感信息。
南亚地区的攻击组织相当擅长使用社会工程学,实际监测中我们也发现了数量众多的受害者,这说明部分单位的网络安全防范措施和意识仍有很大的提升空间,部分短板依旧可以导致安全问题。
未来的趋势预测
在地缘政治因素的影响下,我们认为这些攻击组织将持续保持高度活跃状态。
结合近几年的实际情况,虽然南亚地区的APT组织在复用之前的恶意代码工具和攻击手法的基础上,会在部分环节上做出改善,但在技术层面上相比Equation Group、darkhotel等仍存在一定的差距。可考虑到此类APT组织多由国家背景支撑,结合近年,如蔓灵花使用更多0Day “CVE-2021-1732”或是响尾蛇在移动侧使用的在野漏洞“CVE-2019-2215“等事件,不难看出其背后势力在该方面资源的投入存在逐渐增大的趋势。
考虑到电子邮件在南亚地区APT组织的攻击活动中的核心地位,我们认为其今后依旧会施大规模的邮件钓鱼或者凭据窃取的行动,因此各个单位需加强针对钓鱼邮件的防范,尤其是加强相关安全教育;同时针对邮箱账户密码被窃取,可以采用多因子身份认证等方式来有效降低被其他人登录的可能。
在过往的预测中,我们提到了其通过购买来获得较先进攻击技术能力的可能,而今年我们也观测到了其使用商业后门程序并可能与NSO存在关联,对于此我们也需要提高警惕。
- END -
[1] https://blogs.360.cn/post/APT-C-35_target_%20at_Pakistan.html
[2] https://blog.talosintelligence.com/2020/10/donot-firestarter.html
[3] https://blogs.360.cn/post/APT-C-35_target_at_armed_forces_in_Pakistan.html
[4]https://www.bitdefender.com/files/News/CaseStudies/study/352/Bitdefender-PR-Whitepaper-BitterAPT-creat4571-en-EN-GenericUse.pdf
[5] https://www.trendmicro.com/en_us/research/20/a/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group.html
[6] https://www.trendmicro.com/en_us/research/20/l/sidewinder-leverages-south-asian-territorial-issues-for-spear-ph.html
[7] https://www.trendmicro.com/en_us/research/18/h/the-urpage-connection-to-bahamut-confucius-and-patchwork.html
还没有评论,来说两句吧...