返回
快讯

SideCopy以Xeno RAT瞄准阿富汗财政部

研究人员披露,疑似与巴基斯坦有关的 SideCopy 组织对阿富汗财政部发起鱼叉式钓鱼攻击,投递含恶意 LNK 的 ZIP 文件并部署 Xeno RAT。该活动还针对省级税收和财政部门、会说普什图语的政府官员及省级员工。建议关注来自 ZIP、LNK、HTA 的可疑链路并检查持久化迹象。

网络安全研究人员披露了一起鱼叉式钓鱼活动,疑似由与巴基斯坦有关联的 SideCopy 组织发起,目标是阿富汗财政部,使用的是名为 Xeno RAT 的开源远程访问木马。

Seqrite Labs 研究员 Dixit Panchal 在对该活动的技术分析中表示:“该活动以鱼叉式钓鱼投递开场——一个包含恶意 LNK 文件的 ZIP 压缩包,文件名经过精心构造,使用了普什图语。”

作为该活动的一部分,其他受害目标还包括省级税收与财政局、会说普什图语的政府官员,以及省级政府雇员。该活动被代号命名为 Operation XENOFISCAL。

诱饵文件选择普什图语,是攻击者有意为之,因为这是阿富汗政府圈子里的主要语言。这一细节反映出攻击者对目标环境的熟悉程度。

SideCopy 是一个与巴基斯坦有关联的威胁组织名称,隶属于更广泛的 Transparent Tribe(又名 APT36)体系,使用多种恶意软件家族从被入侵主机窃取敏感数据。2025 年 4 月,该对手曾被归因于一系列针对印度多个行业的攻击,使用了 Xeno RAT、Spark RAT 和 CurlBack RAT。

从这个角度看,最新活动是面向南亚实体的更广泛恶意网络活动集群的延续。

一旦执行,这个 Windows Shortcut(LNK)文件会利用“mshta.exe”从一个遭入侵的阿富汗教育领域域名获取远程 HTML Application(HTA),随后在内存中执行经过混淆的 JavaScript。恶意软件还会通过伪装成 Microsoft Edge 来建立基于 Registry 的持久化,同时通过基于 DLL 的加载器投放 Xeno RAT 1.8.7 和一个诱饵文档作为干扰机制。

Xeno RAT 设计为通过 TCP 连接到远程服务器,以处理操作者发送的命令。该恶意软件具备加载并执行外部 DLL 模块、向服务器传输数据、通过计划任务启动恶意软件、获取防病毒信息、支持基于 SOCKS5 代理的网络隧道、执行文件操作、记录按键、截取屏幕截图、监控剪贴板、跟踪摄像头/麦克风、删除持久化方法以及从主机卸载自身等能力。

这一披露发布之际,外界也获悉了一起有针对性的钓鱼行动:该行动利用武器化的 Linux .desktop 文件,以与印度装甲车辆采购行动相关的合同诱饵,针对印度军方基础设施。该活动被评估为 Transparent Tribe 所为。

安全研究员 R.D. Tarun 上月在一份报告中说:“该活动似乎针对与印度军事和国防基础设施生态系统相关的个人,使用基于 WhatsApp 的社会工程和分阶段 shell payload 投递。”

“在执行后,恶意 .desktop 启动器会启动一条高度混淆的、基于 shell 的感染链,其中包括分阶段 payload 获取、内联解码例程,以及部署一个基于 Golang 的 ELF implant,本报告将其跟踪为 DeskRAT。”