Araştırmacılar kaygan SideWinder APT’yi biri 2020’de diğeri 2021’de olmak üzere iki kötü niyetli kampanyayla ilişkilendirdi. dır-dir.
A rapor Group-IB tarafından bu hafta yayınlanan SideWinder’ı (namı diğer Rattlesnake veya T-APT4) Maldiv hükümetine yönelik bilinen bir 2020 saldırısının yanı sıra Afganistan, Butan, Myanmar, Nepal ve Haziran ve Kasım 2021 arasında Sri Lanka.
Bulgular, grubun daha önce tanımlanamayan uzaktan erişim Truva Atları (RAT’ler), arka kapılar, ters mermiler ve sahneleyiciler dahil olmak üzere bir dizi araç kullanarak daha önce düşünülenden çok daha geniş bir ağ oluşturduğunu gösteriyor. Araştırmacıların bu saldırılarla ilgili araştırması, grubu, aslında SideWinder’ın kendisi de olabilecek Baby Elephant ve Donot APT de dahil olmak üzere bilinen diğer APT’lerle de ilişkilendiriyor.
Araştırmacılar, Hollanda, Almanya, Fransa, Moldova ve Rusya’da bulunan SideWinder tarafından kontrol edilen IP adreslerini ortaya çıkaran araştırmacılarla, raporun ayrıca grubun operasyonlarının coğrafi olarak dağınık doğasına daha fazla ışık tuttuğunu söyledi.
2012’den beri aktif olan SideWinder, Kaspersky tarafından algılandı 2018’in ilk çeyreğinde ve öncelikle Pakistan askeri altyapısını hedef aldığı düşünülüyor. Bununla birlikte, bu son rapor, grubun hedef aralığının – yaygın olarak inanılan – olduğunu gösteriyor. Hint casusluğuyla ilgili ilgi alanları – bundan çok daha geniştir.
Group-IB’nin Tehdit İstihbaratı ekibinde kıdemli bir kötü amaçlı yazılım analisti olan Dmitry Kupin raporda, “SideWinder yaklaşık 10 yıldır Güney ve Doğu Asya’daki devlet kuruluşlarına casusluk amacıyla sistematik olarak saldırıyor.”
Özellikle araştırmacılar, yeni tanımlanan kimlik avı kampanyasının hükümet organları, askeri kuruluşlar, kolluk kuvvetleri, merkez bankaları, telekomünikasyon, medya, siyasi kuruluşlar ve daha fazlası dahil olmak üzere 60’tan fazla hedef belirledi. Hedefler, Afganistan, Butan, Myanmar, Nepal ve Sri Lanka dahil olmak üzere birçok ülkede bulunuyor.
Gelişmiş Kimlik Avı Kaynakları
Araştırmacılar, SideWinder’ın kurbanları cezbetmek amacıyla bilinen varlıkları taklit ettiği kimlik avı saldırılarının, kimlik avı altyapısının ne kadar geniş olduğunu da gösterdiğini söyledi. Spear-phishing uzun zamandır grubun ilk erişim yöntemi olduğu için bu mantıklı, dediler.
SideWinder’ın kurbanları tehlikeye atma girişimlerinde başarılı olup olmadığını doğrulamayan kimlik avı bulguları, grup hakkında daha önce bilinmeyen bir şeyi de ortaya koyuyor: kripto para birimini hedeflemeye ilgi.
Haziran 2021 ile Kasım 2021 arasında gerçekleşen oltalama saldırılarında grup, cephaneliğinde bulunan finans kuruluşunu taklit eden bir web sitesini kullanarak hem Myanmar Merkez Bankası’nı hem de Hindistan’da kullanılan temassız Nesnelerin İnterneti (IoT) adlı ödeme sistemini taklit etti. Nitro Ağı olarak da bilinen Nucleus Vision.
Araştırmacılar, kampanyaların ayrıca SideWinder’ın NCASH kriptosunun bir Airdrop’unu taklit ederek kripto para birimini çalmaya çalıştığını gösterdiği için dikkate değer olduğunu söyledi. NCASH, Hindistan’daki perakende mağazalarının kullandığı Nucleus Vision ekosisteminde bir ödeme aracı olarak kullanılıyor dediler.
Özellikle, araştırmacılar, Apple’ın mobil cihazları aracılığıyla dosya gönderme teknolojisi olan Airdrop ile ilgili bir kimlik avı bağlantısını ortaya çıkardı. Kullanıcılar bağlantıyı ziyaret ettiğinde (http://5[.]2[.]79[.]135/project/project/index.html) bir Airdrop’a katılmak ve jeton almak için kayıt olmaları istendi, ancak hangileri olduğu belirtilmedi. Kullanıcı, “Ayrıntıları gönder” düğmesine basarak, araştırmacıların grubun bu saldırı vektörünü daha da geliştirmek için kullandığına inandıkları login.php komut dosyasını etkinleştirir.
Araçlar ve Telgraf
Group-IB ayrıca, SideWinder tarafından kullanılan, yalnızca bir kısmı daha önce genel olarak açıklanan, C++, C#, Go, Python (derlenmiş komut dosyası) ve VBScript dahil olmak üzere çeşitli programlama dillerinde geliştirilmiş bir dizi özel araç keşfetti.
Bu cephaneliğin bir kısmı, grubun en yeni özel aracı SideWinder.AntiBot.Script, Python’da yazılmış bir bilgi hırsızı ve Pakistanlı kuruluşlara karşı daha önce belgelenmiş kimlik avı saldırılarında kullanıldı.
Komut dosyası, bir kurbanın göz atma geçmişini Google Chrome’dan, tarayıcıda kayıtlı kimlik bilgilerini, dizindeki klasörlerin listesini ve ayrıca .docx, .pdf ve .txt dosyalarının meta bilgilerini ve içeriklerini çıkarabilir. Kupin, grubun “kısa bir süre içinde yüzlerce casusluk operasyonu” yürütme konusundaki kötü şöhretinin önemli bir parçası olduğunu yazdı.
Kupin, SideWinder’ın araç cephaneliğiyle ilgili bir başka ve belki de “en ilginç bulgunun”, Telegram mesajlaşma uygulamasını kötü amaçlı yazılım komutlarının sonuçlarını almak ve böylece güvenliği ihlal edilmiş sistemlerden çalınan verileri almak için bir kanal olarak kullanan RAT örnekleri olduğunu belirtti.
Bu taktik, giderek birçok gelişmiş tehdit aktörünün alamet-i farikası haline geliyor, dedi.
SideWinder Nasıl Kapatılır?
Rapor, çok çeşitli güvenlik ihlali göstergelerinin yanı sıra SideWinder saldırılarıyla ilişkili URL’ler içerir.
Diğer birçok APT grubu gibi SideWinder da ilk saldırı vektörü olarak hedefli hedefli kimlik avına dayandığından, Kupin Dark Reading’e “izole bir sanal ortamda kötü amaçlı ekleri patlatma yeteneğine sahip iş e-posta koruma çözümleri kurmak” için kuruluşlar için önemlidir. Kuruluşların ayrıca, çalışanların gelen kutularına ulaşan kimlik avı e-postalarını hızlı bir şekilde tanıyabilmesi için sosyal olarak tasarlanmış sızma testleri yapması gerektiğini de sözlerine ekledi.
Kupin, SideWinder nedeniyle risk altında olan kuruluşların, yeni ağ göstergeleri ve kurallarıyla düzenli olarak güncellenen yönetilen genişletilmiş algılama ve yanıt (MXDR) çözümlerini kullanarak kuruluşun çevresindeki ağ etkinliğini sürekli olarak izlemesi gerektiğini söylüyor.