SideWinder悄然滲透：ClickOnce新攻擊手法曝光

【事件描述總結】：

2025年9月，SideWinder駭客組織利用結合PDF與ClickOnce技術的魚叉式郵件，針對南亞多國政府部門與外交機構發動精密情報滲透攻擊。攻擊手法假冒Adobe Reader下載提示，以合法簽署的ClickOnce應用包裝惡意程式，有效繞過安全警示與偵測。此攻擊採用地理封鎖與動態URL，讓安全防禦系統難以攔截。受害範圍涵蓋印度、巴基斯坦、孟加拉乃至斯里蘭卡，造成敏感資訊外洩與系統持續滲透風險，突顯國家級APT組織的攻擊持續演進。


【利用弱點分析與說明】：

SideWinder這輪攻擊主打PDF結合ClickOnce應用，在釣魚郵件夾帶之PDF中，以「文件無法正確顯示，需下載Adobe Reader」為誘因，誆騙受害者點擊連結取得經合法簽章包覆的ClickOnce應用程式。
此應用實則搭載惡意DLL（DEVOBJ.dll），利用Windows簽章驗證盲點，側載進一步的.NET惡意模組（StealerBot），並自動執行後續感染。
惡意伺服器採地理區封鎖與動態路徑設計，避開傳統檢測，成功繞過入侵偵測系統。


▶ 攻擊影響與造成危害族群：

本次受害族群以亞洲外交與公部門機構為主，被入侵後將面臨機密文件外洩、鍵盤紀錄、螢幕截圖與認證憑證等資訊洩漏。除此之外，SideWinder特製StealerBot木馬亦能進行反向連線、持續滲透、植入更多惡意模組，讓攻擊行動難以根除。此種有針對性、具有地緣政治目的之APT間諜行動，將政府部門、外交使館與其合作產業推上高危險區，直接威脅國家安全與關鍵基礎設施。

▶ 建議一般緩解措施：

建議機關與企業應定期強化員工釣魚郵件教育訓練，提升對於「真假更新提示」、「ClickOnce安裝警示」的警覺心。

注意：以上建議僅為一般參考，具體作業應根據組織的實際需求和環境進行調整。


▶ 建議產品緩解措施：

MDR：持續監控端點活動，及時偵測可疑行為並主動阻斷攻擊擴散。例如自動隔離被感染設備、終止惡意程序，提升即時威脅響應能力，降低損害擴大風險。如BCCS advMDR、TeamT5 ThreatSonar、SentinelONE等。

Email SPAM防護與沙箱檢查
：在郵件層級攔截惡意附件與垃圾郵件，透過沙箱環境執行分析，避免惡意程式透過郵件附件入侵企業系統，保護使用者免受魚叉式攻擊及零日漏洞威脅。如Cisco Security Email、Check Point Email Security、Openfind Email Spam。

網路微分段（網段隔離）
：透過劃分細小網路區段，限制不同區域設備過度連通，降低威脅橫向散播風險。發現異常時，能迅速隔離特定網段，避免攻擊擴大，保障整體網路安全。如Illumio、Cloudflare等。

情資平台訂閱與運用
：持續獲取最新APT威脅情報與指標（IOC），結合企業防禦系統做即時調整。透過情報共享，加強預警與應變能力，提升對複雜且持續進化攻擊的防護效果。如TeamT5 ThreatVision等。

▶ 參考資料來源：

１．SideWinder's Shifting Sands: Click Once for Espionage
２．SideWinder Adopts New ClickOnce-Based Attack Chain Targeting South Asian Diplomats