SideWinder, un prolífico actor de estado-nación conocido principalmente por apuntar a entidades militares de Pakistán, comprometió el sitio web oficial de la Autoridad Reguladora Nacional de Energía Eléctrica (NEPRA) para entregar un malware personalizado llamado Halcón de guerra.
«La puerta trasera WarHawk recién descubierta contiene varios módulos maliciosos que ofrecen Cobalt Strike, incorporando nuevos TTP como Inyección KernelCallBackTable y verificación de la zona horaria estándar de Pakistán para garantizar una campaña victoriosa», Zscaler ThreatLabz dijo.
El grupo de amenazas, también llamado APT-C-17, Rattlesnake y Razor Tiger, está sospechoso ser un grupo patrocinado por el estado indio, aunque un informe de Kaspersky a principios de mayo reconoció que los indicadores anteriores que llevaron a la atribución han desaparecido desde entonces, lo que dificulta vincular el grupo de amenazas a una nación específica.
Se dice que el grupo ha lanzado más de 1000 ataques desde abril de 2020, una indicación de la nueva agresión de SideWinder desde que comenzó a operar hace una década en 2012.
Las intrusiones han sido significativas no solo con respecto a su frecuencia sino también a su persistencia, incluso cuando el grupo se aprovecha de un enorme arsenal de componentes ofuscados y recientemente desarrollados.
En junio de 2022, se descubrió que el actor de amenazas aprovechaba un script de AntiBot que está diseñado para filtrar a sus víctimas para verificar el entorno del navegador del cliente, específicamente la dirección IP, para asegurarse de que los objetivos estén ubicados en Pakistán.
La campaña de septiembre detectada por Zscaler implica el uso de un archivo ISO armado alojado en el sitio web de NEPRA para activar una cadena de destrucción que conduce al despliegue del malware WarHawk, y el artefacto también actúa como señuelo para ocultar la actividad maliciosa por mostrando a asesoramiento legítimo emitido por la División del Gabinete de Pakistán el 27 de julio de 2022.
WarHawk, por su parte, se hace pasar por aplicaciones legítimas como ASUS Update Setup y Realtek HD Audio Manager para atraer a las víctimas desprevenidas a la ejecución, lo que resulta en la filtración de metadatos del sistema a un servidor remoto codificado, al mismo tiempo que recibe cargas útiles adicionales de la URL.
Esto incluye un módulo de ejecución de comandos que es responsable de la ejecución de los comandos del sistema en la máquina infectada recibidos del servidor de comando y control, un módulo de administración de archivos que enumera recursivamente los archivos presentes en diferentes unidades y un módulo de carga que transmite archivos de interés. al servidor
También se implementa como una carga útil de segunda etapa utilizando el módulo de ejecución de comandos mencionado anteriormente, un Cobalt Strike Loader, que valida la zona horaria del host para confirmar que coincide con la hora estándar de Pakistán (PKT), de lo contrario, el proceso finaliza.
Siguiendo el anti-anEl cargador inyecta shellcode en un proceso notepad.exe usando una técnica llamada inyección de proceso KernelCallbackTable, con el autor del malware extrayendo el código fuente de un redacción técnica publicado en abril de 2022 por un investigador que usa el alias en línea Capitán Meelo.
Luego, el shellcode descifra y carga Beacon, la carga útil de malware predeterminada utilizada por Cobalt Strike para establecer una conexión con su servidor de comando y control.
Según la empresa de ciberseguridad, las conexiones de la campaña de ataque a SideWinder APT se derivan de la reutilización de la infraestructura de red que ha sido identificada como utilizada por el grupo en actividades anteriores centradas en el espionaje contra Pakistán.
«SideWinder APT Group está continuamente evolucionando sus tácticas y agregando nuevo malware a su arsenal para llevar a cabo campañas exitosas de ataques de espionaje contra sus objetivos», concluyeron los investigadores.