Çoğunlukla Pakistan askeri varlıklarını hedef aldığı bilinen üretken bir ulus-devlet aktörü olan SideWinder, Ulusal Elektrik Gücü Düzenleme Kurumu’nun (NEPRA) resmi web sitesini tehlikeye atarak özel olarak tasarlanmış bir kötü amaçlı yazılım ortaya çıkardı. SavaşHawk.
Zscaler ThreatLabz, “Yeni keşfedilen WarHawk arka kapısı, Muzaffer bir kampanya sağlamak için KernelCallBackTable enjeksiyonu ve Pakistan Standart Saat dilimi kontrolü gibi yeni TTP’leri içeren Cobalt Strike sağlayan çeşitli kötü amaçlı modüller içeriyor.” Dedi.
APT-C-17, Rattlesnake ve Razor Tiger olarak da adlandırılan tehdit grubunun Hindistan devlet destekli bir grup olduğundan şüpheleniliyor, ancak Kaspersky’nin bu Mayıs ayı başlarında yayınladığı bir rapor, ilişkilendirmeye yol açan önceki göstergelerin o zamandan beri ortadan kaybolduğunu kabul etti. tehdit kümesini belirli bir ulusa bağlamaya zorluyor.
Nisan 2020’den bu yana grup tarafından 1.000’den fazla saldırı başlatıldığı söyleniyor ve bu, SideWinder’ın on yıl önce 2012’de faaliyete geçmesinden bu yana yeni keşfedilen saldırganlığının bir göstergesi.
Grup, karmaşık ve yeni geliştirilmiş bileşenlerden oluşan devasa bir cephanelikten yararlansa bile, izinsiz girişler yalnızca sıklıkları açısından değil, aynı zamanda kalıcılıkları açısından da önemlidir.
Haziran 2022’de tehdit aktörü, kurbanlarını, hedeflerin Pakistan’da bulunduğundan emin olmak için istemci tarayıcı ortamını, özellikle IP adresini kontrol etmek üzere filtrelemek üzere tasarlanmış bir AntiBot komut dosyasından yararlanırken bulundu.
Zscaler tarafından tespit edilen Eylül kampanyası, NEPRA’nın web sitesinde barındırılan silahlı bir ISO dosyasının, WarHawk kötü amaçlı yazılımının dağıtımına yol açan bir öldürme zincirini etkinleştirmek için kullanılmasını gerektiriyor ve eser aynı zamanda meşru bir uyarı görüntüleyerek kötü niyetli etkinliği gizlemek için bir tuzak görevi görüyor. Pakistan Kabine Bölümü tarafından 27 Temmuz 2022’de yayınlandı.
WarHawk, kendi adına, şüphelenmeyen kurbanları yürütmeye çekmek için ASUS Update Setup ve Realtek HD Audio Manager gibi meşru uygulamalar gibi görünerek, sistem meta verilerinin sabit kodlanmış bir uzak sunucuya sızmasına ve aynı zamanda URL’den ek yükler almasına neden oluyor.
Bu, komut ve kontrol sunucusundan alınan virüslü makinede sistem komutlarının yürütülmesinden sorumlu bir komut yürütme modülü, farklı sürücülerde bulunan dosyaları tekrar tekrar numaralandıran bir dosya yöneticisi modülü ve ilgilenilen dosyaları ileten bir yükleme modülü içerir. sunucuya.
Ayrıca, yukarıda bahsedilen komut yürütme modülünü kullanarak ikinci aşama bir yük olarak konuşlandırılan bir Kobalt Saldırı Yükleyicisi, ana bilgisayarın saat dilimini Pakistan Standart Saati (PKT) ile eşleştiğini doğrulamak için doğrular ve işlemin başarısız olması durumunda sonlandırılır.
Anti-anThe loader’ın ardından, KernelCallbackTable işlem enjeksiyonu adı verilen bir tekniği kullanarak kabuk kodunu bir notepad.exe işlemine enjekte eder ve kötü amaçlı yazılım yazarı, çevrimiçi takma adı Capt. Melo.
Kabuk kodu daha sonra, komut ve kontrol sunucusuyla bağlantı kurmak için Cobalt Strike tarafından kullanılan varsayılan kötü amaçlı yazılım yükü olan Beacon’ın şifresini çözer ve yükler.
Siber güvenlik şirketine göre, saldırı kampanyasının SideWinder APT ile bağlantıları, grup tarafından Pakistan’a karşı daha önce casusluk odaklı faaliyetlerde kullanıldığı belirlenen ağ altyapısının yeniden kullanılmasından kaynaklanıyor.
Araştırmacılar, “SideWinder APT Grubu, hedeflerine karşı başarılı casusluk saldırı kampanyaları yürütmek için taktiklerini sürekli olarak geliştiriyor ve cephaneliğine yeni kötü amaçlı yazılımlar ekliyor.”