SideWinder olarak bilinen ulus-devlet tehdit aktörü, Hint Okyanusu ve Akdeniz’deki liman ve deniz tesislerini hedef alan yeni bir siber casusluk kampanyasıyla suçlanıyor.
BlackBerry Araştırma ve İstihbarat Ekibi, keşfetti Saldırının hedefinde Pakistan, Mısır, Sri Lanka, Bangladeş, Myanmar, Nepal ve Maldivler gibi ülkelerin yer aldığı belirtildi.
APT-C-17, Baby Elephant, Hardcore Nationalist, Rattlesnake ve Razor Tiger adlarıyla da bilinen SideWinder’ın Hindistan ile bağlantılı olduğu değerlendiriliyor. 2012’den beri faaliyette ve genellikle saldırı zincirlerini tetikleyen kötü amaçlı yükleri iletmek için bir vektör olarak mızraklı kimlik avından yararlanıyor.
Kanadalı siber güvenlik şirketi geçen hafta yayınladığı analizde, “SideWinder, tespit edilmekten kaçınmak ve hedefli implantlar göndermek için e-posta hedefli kimlik avı, belge istismarı ve DLL yan yükleme tekniklerini kullanıyor” dedi.
Son saldırılarda, alıcıların duygusal durumlarını olumsuz yönde etkilemek ve onları tuzaklı Microsoft Word belgelerini açmaya kandırmak için cinsel taciz, çalışan işten çıkarma ve maaş kesintileri gibi tuzaklar kullanılıyor.
Sahte dosya açıldığında, bilinen bir güvenlik açığından (CVE-2017-0199) yararlanarak Pakistan Limanlar ve Nakliye Genel Müdürlüğü gibi görünen kötü amaçlı bir alan adıyla bağlantı kurar (“reports.dgps-govtpk”)[.]com”) kullanarak bir RTF dosyasını alabilirsiniz.
RTF belgesi ise, Microsoft Office Denklem Düzenleyicisi’ndeki yıllardır var olan bir diğer güvenlik açığı olan CVE-2017-11882’yi kullanan bir belgeyi indiriyor ve amacı, JavaScript kodunu başlatmaktan sorumlu kabuk kodunu çalıştırmak; ancak bunu yalnızca tehlikeye atılan sistemin meşru olduğundan ve tehdit aktörünün ilgisini çektiğinden emin olduktan sonra yapıyor.
JavaScript zararlı yazılımının ne sağladığı henüz bilinmiyor ancak nihai hedefin SideWinder tarafından daha önce düzenlenen saldırılara dayanarak istihbarat toplamak olması muhtemel.
BlackBerry, “SideWinder tehdit aktörü, kurbanları yeni bölgelerde hedeflemek için altyapısını geliştirmeye devam ediyor,” dedi. “Ağ altyapısının ve teslimat yüklerinin istikrarlı evrimi, SideWinder’ın öngörülebilir gelecekte saldırılarına devam edeceğini gösteriyor.”