SideWinder, un prol\u00edfico actor de estado-naci\u00f3n conocido principalmente por apuntar a entidades militares de Pakist\u00e1n, comprometi\u00f3 el sitio web oficial de la Autoridad Reguladora Nacional de Energ\u00eda El\u00e9ctrica (NEPRA) para entregar un malware personalizado llamado Halc\u00f3n de guerra<\/strong>.<\/p>\n “La puerta trasera WarHawk reci\u00e9n descubierta contiene varios m\u00f3dulos maliciosos que ofrecen Cobalt Strike, incorporando nuevos TTP como Inyecci\u00f3n KernelCallBackTable<\/a> y verificaci\u00f3n de la zona horaria est\u00e1ndar de Pakist\u00e1n para garantizar una campa\u00f1a victoriosa”, Zscaler ThreatLabz dijo<\/a>.<\/p>\n El grupo de amenazas, tambi\u00e9n llamado APT-C-17, Rattlesnake y Razor Tiger, est\u00e1 sospechoso<\/a> ser un grupo patrocinado por el estado indio, aunque un informe de Kaspersky a principios de mayo reconoci\u00f3 que los indicadores anteriores que llevaron a la atribuci\u00f3n han desaparecido desde entonces, lo que dificulta vincular el grupo de amenazas a una naci\u00f3n espec\u00edfica.<\/p>\n Se dice que el grupo ha lanzado m\u00e1s de 1000 ataques desde abril de 2020, una indicaci\u00f3n de la nueva agresi\u00f3n de SideWinder desde que comenz\u00f3 a operar hace una d\u00e9cada en 2012.<\/p>\n Las intrusiones han sido significativas no solo con respecto a su frecuencia sino tambi\u00e9n a su persistencia, incluso cuando el grupo se aprovecha de un enorme arsenal de componentes ofuscados y recientemente desarrollados.<\/p>\n En junio de 2022, se descubri\u00f3 que el actor de amenazas aprovechaba un script de AntiBot que est\u00e1 dise\u00f1ado para filtrar a sus v\u00edctimas para verificar el entorno del navegador del cliente, espec\u00edficamente la direcci\u00f3n IP, para asegurarse de que los objetivos est\u00e9n ubicados en Pakist\u00e1n.<\/p>\n La campa\u00f1a de septiembre detectada por Zscaler implica el uso de un archivo ISO armado alojado en el sitio web de NEPRA para activar una cadena de destrucci\u00f3n que conduce al despliegue del malware WarHawk, y el artefacto tambi\u00e9n act\u00faa como se\u00f1uelo para ocultar la actividad maliciosa por mostrando<\/a> a asesoramiento leg\u00edtimo<\/a> emitido por la Divisi\u00f3n del Gabinete de Pakist\u00e1n el 27 de julio de 2022.<\/p>\n WarHawk, por su parte, se hace pasar por aplicaciones leg\u00edtimas como ASUS Update Setup y Realtek HD Audio Manager para atraer a las v\u00edctimas desprevenidas a la ejecuci\u00f3n, lo que resulta en la filtraci\u00f3n de metadatos del sistema a un servidor remoto codificado, al mismo tiempo que recibe cargas \u00fatiles adicionales de la URL.<\/p>\n Esto incluye un m\u00f3dulo de ejecuci\u00f3n de comandos que es responsable de la ejecuci\u00f3n de los comandos del sistema en la m\u00e1quina infectada recibidos del servidor de comando y control, un m\u00f3dulo de administraci\u00f3n de archivos que enumera recursivamente los archivos presentes en diferentes unidades y un m\u00f3dulo de carga que transmite archivos de inter\u00e9s. al servidor<\/p>\n Tambi\u00e9n se implementa como una carga \u00fatil de segunda etapa utilizando el m\u00f3dulo de ejecuci\u00f3n de comandos mencionado anteriormente, un Cobalt Strike Loader, que valida la zona horaria del host para confirmar que coincide con la hora est\u00e1ndar de Pakist\u00e1n (PKT), de lo contrario, el proceso finaliza.<\/p>\n Siguiendo el anti-anEl cargador inyecta shellcode en un proceso notepad.exe usando una t\u00e9cnica llamada inyecci\u00f3n de proceso KernelCallbackTable, con el autor del malware extrayendo el c\u00f3digo fuente de un redacci\u00f3n t\u00e9cnica<\/a> publicado en abril de 2022 por un investigador que usa el alias en l\u00ednea Capit\u00e1n Meelo.<\/p>\n Luego, el shellcode descifra y carga Beacon, la carga \u00fatil de malware predeterminada utilizada por Cobalt Strike para establecer una conexi\u00f3n con su servidor de comando y control.<\/p>\n Seg\u00fan la empresa de ciberseguridad, las conexiones de la campa\u00f1a de ataque a SideWinder APT se derivan de la reutilizaci\u00f3n de la infraestructura de red que ha sido identificada como utilizada por el grupo en actividades anteriores centradas en el espionaje contra Pakist\u00e1n.<\/p>\n “SideWinder APT Group est\u00e1 continuamente evolucionando sus t\u00e1cticas y agregando nuevo malware a su arsenal para llevar a cabo campa\u00f1as exitosas de ataques de espionaje contra sus objetivos”, concluyeron los investigadores.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1666600757_369_SideWinder-APT-utiliza-la-nueva-puerta-trasera-WarHawk-para-apuntar.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\")
<\/a><\/div>\n