南亞外交機構遭鎖定！SideWinder駭客組織採用全新ClickOnce攻擊手法

印度資安研究機構 Trellix 揭露，名為 SideWinder 的駭客組織在 2025 年 9 月發動新一波攻擊，鎖定位於印度新德里的歐洲大使館，以及斯里蘭卡、巴基斯坦與孟加拉等多個組織。這波攻擊最值得關注的是，駭客採用了全新的 PDF 與 ClickOnce 技術攻擊鏈，顯示該組織持續演進其攻擊手法。

魚叉式釣魚攻擊分四波進行，從3月延燒至9月

根據 Trellix 研究人員的報告，這些攻擊從 2025 年 3 月延續至 9 月，共分四波進行。駭客透過魚叉式釣魚郵件散布 ModuleInstaller 與 StealerBot 等惡意軟體，目的是竊取受害主機的敏感資訊。

ModuleInstaller 扮演下載器角色，負責載入後續惡意程式；StealerBot 則是 .NET 植入程式，可啟動反向 Shell、投放額外惡意軟體，並收集螢幕截圖、鍵盤記錄、密碼與檔案等資料。

這兩款惡意軟體最早由卡巴斯基在 2024 年 10 月公開揭露，當時已用於攻擊中東與非洲的高價值目標與戰略基礎設施。2025 年 5 月，SideWinder 被發現針對斯里蘭卡、孟加拉與巴基斯坦的政府機構發動攻擊，利用含有已知 Microsoft Office 漏洞的文件部署 StealerBot。

偽裝巴基斯坦國防部散布惡意文件

在 9 月 1 日後的最新攻擊中，駭客鎖定印度大使館，透過釣魚郵件夾帶 Microsoft Word 與 PDF 文件。檔案名稱包括「Inter-ministerial meeting Credentials.pdf」或「India-Pakistan Conflict - Strategic and Tactical Analysis of the May 2025.docx」。這些郵件來自「mod.gov.bd.pk-mail[.]org」網域，試圖冒充巴基斯坦國防部。

攻擊的初始感染方式相同：受害者收到無法正常顯示的 PDF 檔案，或含有漏洞利用程式碼的 Word 文件。PDF 檔案中會出現按鈕，誘使受害者下載並安裝最新版 Adobe Reader 以檢視內容。

利用ClickOnce技術與側載攻擊繞過防護

當受害者點擊按鈕後，系統會從遠端伺服器「mofa-gov-bd.filenest[.]live」下載 ClickOnce 應用程式。該程式執行時會側載惡意 DLL 檔案「DEVOBJ.dll」，同時開啟誘餌 PDF 文件以降低受害者警覺。

ClickOnce 應用程式實際上是 MagTek 公司的合法執行檔「ReaderConfiguration.exe」，偽裝成 Adobe Reader 並附有有效的數位簽章，藉此避免引起懷疑。此外，連往命令與控制伺服器(C2)的請求僅限於南亞地區，且惡意程式的下載路徑是動態生成的，使得分析工作更加困難。

惡意 DLL 會解密並啟動名為 ModuleInstaller的.NET 載入程式，接著對受感染系統進行側寫，最後部署 StealerBot 惡意軟體。

專家指出，這些發現顯示威脅行為者持續精進攻擊手法，企圖繞過資安防護來達成目標。多波釣魚攻擊展現了該組織針對不同外交目標製作高度客製化誘餌的適應能力，顯示其對地緣政治情勢有深入理解。該組織持續使用 ModuleInstaller 與 StealerBot 等客製化惡意軟體，利用合法應用程式進行側載攻擊，突顯 SideWinder 致力於精密規避技術與間諜活動目標。

本文轉載自 TheHackerNews。