Çoğunlukla Pakistan askeri varlıklarını hedef aldığı bilinen üretken bir ulus-devlet aktörü olan SideWinder, Ulusal Elektrik Gücü Düzenleme Kurumu’nun (NEPRA) resmi web sitesini tehlikeye atarak özel olarak tasarlanmış bir kötü amaçlı yazılım ortaya çıkardı. SavaşHawk.
“Yeni keşfedilen WarHawk arka kapısı, aşağıdakiler gibi yeni TTP’leri içeren Kobalt Saldırısı sağlayan çeşitli kötü amaçlı modüller içeriyor. KernelCallBackTable enjeksiyonu ve muzaffer bir kampanya sağlamak için Pakistan Standart Saat dilimi kontrolü,” Zscaler ThreatLabz söz konusu.
APT-C-17, Rattlesnake ve Razor Tiger olarak da adlandırılan tehdit grubu, şüpheli Kaspersky’nin bu mayıs ayının başlarında yayınladığı bir rapor, bu ilişkilendirmeye yol açan önceki göstergelerin o zamandan beri ortadan kalktığını kabul etmesine rağmen, Hindistan devlet destekli bir grup olmak için, tehdit kümesini belirli bir ulusa bağlamayı zorlaştırıyor.
Nisan 2020’den bu yana grup tarafından 1.000’den fazla saldırı başlatıldığı söyleniyor ve bu, SideWinder’ın on yıl önce 2012’de faaliyete geçmesinden bu yana yeni keşfedilen saldırganlığının bir göstergesi.
Grup, karmaşık ve yeni geliştirilmiş bileşenlerden oluşan devasa bir cephanelikten yararlansa bile, izinsiz girişler yalnızca sıklıkları açısından değil, aynı zamanda kalıcılıkları açısından da önemlidir.
Haziran 2022’de tehdit aktörü, kurbanlarını, hedeflerin Pakistan’da bulunduğundan emin olmak için istemci tarayıcı ortamını, özellikle IP adresini kontrol etmek üzere filtrelemek üzere tasarlanmış bir AntiBot komut dosyasından yararlanırken bulundu.
Zscaler tarafından tespit edilen Eylül kampanyası, NEPRA’nın web sitesinde barındırılan silahlı bir ISO dosyasının, WarHawk kötü amaçlı yazılımının dağıtımına yol açan bir öldürme zincirini etkinleştirmek için kullanılmasını gerektiriyor ve eser aynı zamanda kötü niyetli etkinliği gizlemek için bir tuzak görevi görüyor. gösteriliyor a meşru tavsiye Pakistan Kabine Bölümü tarafından 27 Temmuz 2022’de yayınlandı.
WarHawk, kendi adına, şüphelenmeyen kurbanları yürütmeye çekmek için ASUS Update Setup ve Realtek HD Audio Manager gibi meşru uygulamalar gibi görünerek, sistem meta verilerinin sabit kodlanmış bir uzak sunucuya sızmasına ve aynı zamanda URL’den ek yükler almasına neden oluyor.
Bu, komut ve kontrol sunucusundan alınan virüslü makinede sistem komutlarının yürütülmesinden sorumlu bir komut yürütme modülü, farklı sürücülerde bulunan dosyaları tekrar tekrar numaralandıran bir dosya yöneticisi modülü ve ilgilenilen dosyaları ileten bir yükleme modülü içerir. sunucuya.
Ayrıca, yukarıda bahsedilen komut yürütme modülünü kullanarak ikinci aşama bir yük olarak konuşlandırılan bir Kobalt Saldırı Yükleyicisi, ana bilgisayarın saat dilimini Pakistan Standart Saati (PKT) ile eşleştiğini doğrulamak için doğrular ve işlemin başarısız olması durumunda sonlandırılır.
Anti-anThe loader’ın ardından, kötü amaçlı yazılım yazarının kaynak kodunu bir teknik yazı Nisan 2022’de çevrimiçi takma adı Kaptan Meelo olan bir araştırmacı tarafından yayınlandı.
Kabuk kodu daha sonra, komut ve kontrol sunucusuyla bağlantı kurmak için Cobalt Strike tarafından kullanılan varsayılan kötü amaçlı yazılım yükü olan Beacon’ın şifresini çözer ve yükler.
Siber güvenlik şirketine göre, saldırı kampanyasının SideWinder APT ile bağlantıları, grup tarafından Pakistan’a karşı daha önce casusluk odaklı faaliyetlerde kullanıldığı belirlenen ağ altyapısının yeniden kullanılmasından kaynaklanıyor.
Araştırmacılar, “SideWinder APT Grubu, hedeflerine karşı başarılı casusluk saldırı kampanyaları yürütmek için taktiklerini sürekli olarak geliştiriyor ve cephaneliğine yeni kötü amaçlı yazılımlar ekliyor.”