SideWinder olarak bilinen gelişmiş kalıcı tehdit (APT) aktörü, Kasım 2022’nin sonlarında başlayan bir kampanyanın parçası olarak Pakistan hükümet kuruluşlarına yönelik saldırılara arka kapı yerleştirmekle suçlanıyor.
BlackBerry Araştırma ve İstihbarat Ekibi, “Bu kampanyada, SideWinder gelişmiş kalıcı tehdit (APT) grubu, bir sonraki aşama yükünü teslim etmek için sunucu tabanlı bir polimorfizm tekniği kullandı.” söz konusu Pazartesi günü yayınlanan bir teknik raporda.
Kanadalı siber güvenlik şirketi tarafından Mart 2023’ün başlarında keşfedilen bir başka kampanya, Türkiye’nin de tehdit aktörünün tahsilat önceliklerinin hedefine geldiğini gösteriyor.
SideWinder en az 2012’den beri radarda ve öncelikle Pakistan, Afganistan, Butan, Çin, Myanmar, Nepal ve Sri Lanka’da bulunan çeşitli Güneydoğu Asya varlıklarını hedef aldığı biliniyor.
Hindistan devlet destekli bir grup olduğundan şüphelenilen SideWinder, APT-C-17, APT-Q-39, Hardcore Nationalist (HN2), Rattlesnake, Razor Tiger ve T-APT4 takma adlarıyla da izleniyor.
Oyuncu tarafından oluşturulan tipik saldırı dizileri, özenle hazırlanmış e-posta tuzaklarının kullanılmasını gerektirir ve DLL yandan yükleme teknikleri radarın altından uçmak ve aktörlere hedeflenen sistemlere uzaktan erişim sağlayabilen kötü amaçlı yazılım dağıtmak.
SideWinder geçen yıl boyunca bir siber ile ilişkilendirildi. saldırı amaçlı Pakistan Donanma Harp Akademisi’nde (PNWC) ve bir Android kötü amaçlı yazılım kampanyası Google Play Store’a yüklenen hileli telefon temizleyici ve VPN uygulamalarından yararlanan hassas bilgileri topla.
BlackBerry tarafından belgelenen en son bulaşma zinciri, Çinli siber güvenlik firması QiAnXin’in Aralık 2022’de elde ettiği bulguları yansıtıyor; uzak sunucu.
Kampanyayı öne çıkaran şey de, tehdit aktörünün, geleneksel imza tabanlı antivirüs (AV) tespitini potansiyel olarak atlatmanın ve bir ara RTF dosyasının iki farklı sürümüyle yanıt vererek ek yükler dağıtmanın bir yolu olarak sunucu tabanlı polimorfizmi kullanmasıdır.
Spesifik olarak, PNWC belgesi olarak bilinen bir yöntem kullanır. uzak şablon enjeksiyonu RTF dosyasını, yalnızca istek Pakistan IP adresi aralığındaki bir kullanıcıdan geliyorsa kötü amaçlı kodu barındıracak şekilde getirmek için.
BlackBerry, “Her iki durumda da, yalnızca ‘file.rtf’ dosyasının adının ve dosya türünün aynı olduğunu, ancak içeriğin, dosya boyutunun ve dosya karmasının farklı olduğunu not etmek önemlidir.”
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
“Kullanıcı Pakistan IP aralığında değilse, sunucu tek bir dize içeren 8 baytlık bir RTF dosyası (file.rtf) döndürür: rtf1 . Ancak, kullanıcı Pakistan IP aralığındaysa, sunucu daha sonra boyutu 406 KB ile 414 KB arasında değişen RTF yükünü döndürür.”
Açıklama, Fortinet ve Team Cymru’nun Pakistan merkezli bir tehdit aktörü olan SideCopy tarafından Hindistan savunma ve askeri hedeflerine karşı gerçekleştirdiği saldırıların ayrıntılarını açıklamasından kısa bir süre sonra geldi.
“Türkiye’yi hedef alan en son SideWinder kampanyası, jeopolitikteki en son gelişmelerle örtüşüyor; özellikle Türkiye’nin Pakistan’ın desteği ve ardından gelen reaksiyon Hindistan’dan,” dedi BlackBerry.