Kötü şöhretli Sidewinder APT Group, Güney Asya’daki kimlik bilgisi hasat operasyonlarını yoğunlaştırdı ve sahte webmail portalları aracılığıyla hükümeti, savunmayı ve kritik altyapı organizasyonlarını hedefleyen sofistike kimlik avı kampanyaları uyguladı.
Kampanya, başlangıçta NetLify ve Pages.dev platformlarında barındırılan 14 kötü amaçlı web sayfasına odaklanan grubun Ağustos 2024 etkinliklerinden önemli bir artışı temsil ediyor.
Tehdit aktörleri, taktiklerini tespit etmek için sürekli olarak uyarlarken, sekiz aydan fazla aktif kimlik avı operasyonlarını koruyarak dikkate değer bir kalıcılık gösterdiler.
Hunt.io’daki güvenlik araştırmacıları, SideWinder tarafından işletilen kapsamlı bir kimlik avı altyapısını ortaya çıkardı ve Pakistan, Nepal, Bangladeş, Sri Lanka ve Myanmar’daki hükümet kuruluşlarını hedefleyen 100’den fazla alan belirledi.
Güvenlik araştırmacısı “Demon”, grubun faaliyetlerini izlemede, Pakistan hükümeti, Pakistan Donanması ve Sri Lanka Donanması da dahil olmak üzere yüksek değerli hedeflere yönelik saldırıları belirlemede etkili olmuştur.
Kimlik Bilgisi Hırsızlık Operasyonları
SideWinder Current Campain, öncelikle sahte Outlook web uygulamasına ve Zimbra Webmail oturum açma sayfalarına odaklanan kimlik bilgisi hasatına çok yönlü bir yaklaşım kullanır.
Grup, kötü niyetli portallarını barındırmak için NetLify, Cloudflare sayfaları ve Back4App dahil olmak üzere birden fazla ücretsiz barındırma platformunda altyapıyı başarıyla tehlikeye attı.
Bangladeş’te, grup özellikle resmi savunma tedarik sistemlerini taklit eden sahte “güvenli dosya” portalları aracılığıyla Savunma Genel Müdürlüğü’nü (DGDP) hedeflemektedir.
Bu sofistike lures, yetkilileri, oturum açma kimlik bilgilerini toplarken meşru savunma belgelerine eriştiklerine inanmaya yöneltiyor.
Nepal, Mayıs ve Eylül 2024 arasında 17 aktif kimlik avı portalını tanımlayan Hunt.io ile birincil hedef olarak ortaya çıktı.
Bu operasyonların yaklaşık% 70’i Merkezi Hükümet Webmail Sistemleri’ni desteklerken, geri kalanı siyasi temalı belgeleri yem olarak kullanıyor.
Grup, Başbakan Çin ziyareti ve ulusal AI politika taslakları ile ilgili belgeleri kullanarak siyasi gerilimlerden yararlanmaya özel ilgi göstermiştir.
Soruşturma, ülkeye özgü farklı kampanyalar arasında kapsamlı altyapı örtüşmesini ortaya koyuyor. Myanmar merkez bankası sahte Zimbra portalları aracılığıyla hedeflendi ve çalınan kimlik bilgileri, diğer bölgesel hedeflere karşı operasyonlarda kullanılan aynı koleksiyon sunucularına yöneldi.
Bu paylaşılan altyapı yaklaşımı, grubun operasyonel verimliliği ve kaynak optimizasyonunu göstermektedir.
Bir HuntSQL ™ sorgusu, 1 Ocak 2025’ten sonra .govmm etki alanlarını içeren tüm URL’leri çıkarmak için tasarlanmıştır. Bu pivot, Govmm.org altyapısına bağlı 13 benzersiz URL’yi ortaya çıkardı.
Pakistan, Space ve Üst Atmosfer Araştırma Komisyonu (SUPARCO), Pakistan Havaalanı Otoritesi ve Ulusal Telekom Şirketi de dahil olmak üzere, Sidewinder’ın taklit ettiği kritik organizasyonları taklit ederek özellikle yoğun hedefleme ile karşı karşıya.
Grup, izleme ve oturum yönetimi için Base64 formatında kurban e-posta adreslerini kodlayan gelişmiş JavaScript tabanlı kimlik avı kitleri kullanır.
Denizcilik Sektörü Odağı
Geleneksel kimlik avı ötesinde, SideWinder, net bir denizcilik sektörü odağına sahip kötü niyetli yürütülebilir ürünler ve tuzak dosyalarını barındıran açık dizinleri korur.
Araştırmacılar, Pakistan ve Sri Lankalı deniz operasyonlarını hedefleyen 40’tan fazla farklı kötü amaçlı yazılım örneğine ev sahipliği yapan themegaprovider.ddns.net ve gwadarport.ddns.net adresinde açık komuta ve kontrol uç noktaları belirlediler.
Üçüncü IP adresi, 46.183.184.245, ilişkilendirmede hayati bir rol oynar. Govmm’a ek olarak[.]Org, aynı zamanda iki alan daha da bağlantılıdır: Govnp[.]Org ve Andc[.]Govf[.]Org.
![Altyapı çakışması: IP 46.183.184.245 Govmm ile bağlantılı[.]Org, govnp[.]Org.](https://gbhackers.com/wp-content/uploads/2025/10/Figure14.InfrastructureoverlapIPlinkedwithdomainstiedtoAPTSidewinderactivity-1024x648.png)
Grubun teknik karmaşıklığı, kimlik avı akışlarını gizlemek için çok aşamalı yönlendirme mekanizmalarının oturum izlemesi ve uygulanması için sert kodlanmış CSRF tokenlerinin kullanılmasına kadar uzanır.
Kampanyanın kapsamı Güney Asya’nın ötesine uzanıyor ve Singapur’un İnsan Gücü Bakanlığı’na karşı yayılma saldırıları, Sidewinder’ın operasyonel tiyatrosunun potansiyel genişlemesini gösteriyor.
Grubun alanlar boyunca hızla bisiklet sürerken kalıcı erişimi sürdürme yeteneği, geleneksel güvenlik önlemleri için önemli zorluklar sunmaktadır.
Güvenlik uzmanları, bu kalıcı tehdide etkili bir şekilde karşı koymak için ücretsiz barındırma platformlarının proaktif izlenmesini, gelişmiş e -posta filtrelemesini ve bölgesel siber güvenlik işbirliğini önermektedir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.