SideWinder Hacker Grubu, WarHawk Aracını Kullanarak Hükümeti ve Orduyu Hedefliyor

   Ekim 26, 2022  Posted in CyberSecurityNews


SideWinder Hacker Grubu, WarHawk Aracını Kullanarak Hükümeti ve Orduyu Hedefliyor

Zscaler ThreatLabz, SideWinder APT tehdit grubu tarafından Pakistan’daki varlıkları hedeflemek için kullanılan ‘WarHawk’ adlı yeni bir arka kapı buldu.

SideWinder grubu, Rattlesnake, Hardcore Milliyetçi, RAZOR TIGER, T-APT-04 ve APT-C-17 adlarıyla devam ediyor ve Asya’da, özellikle Pakistan’da hükümet, ordu ve işletmeleri hedef alma geçmişine sahip.

Zscaler ThreatLabz, “Yeni keşfedilen WarHawk arka kapısı, muzaffer bir kampanya sağlamak için KernelCallBackTable enjeksiyonu ve Pakistan Standart Saat dilimi kontrolü gibi yeni TTP’leri içeren Cobalt Strike sağlayan çeşitli kötü amaçlı modüller içeriyor” dedi.

WarHawk Backdoor’un Çalışması

Raporlar, ‘WarHawk’ arka kapısının aşağıdakiler gibi dört modülden oluştuğunu söylüyor:

DÖRT
  • Modülü İndirin ve Çalıştırın
  • Komut Yürütme Modülü
  • Dosya Yöneticisi InfoExfil Modülü
  • UploadFromC2 Modülü

Araştırmacılar, ISO dosyasının Pakistan Ulusal Elektrik Enerjisi Düzenleme Kurumu’nun meşru web sitesinde barındırıldığını keşfettiler.[.]kuruluş[.]pk”, web sunucularının bir güvenliğinin ihlal edildiğini gösterebilir.

https://lh3.googleusercontent.com/HIa9PKSP2eni41GJnuAl9z4hkXFfrgRuVMUJBJGptoSUaRvo0_91Tsf84EFGqcSTvplfOlj04rOMNhMSxw9EAVv90drH0z0LjTrky8AD1vtjXaIMF3_cvl2BFoHGmjN7vA2B-fyeukue83GI4ec4KQT4VPrF2FyDTwridJXLWzYO5dWOs-5aqAzNQw
Ulusal Elektrik Gücü Düzenleme Kurumu Web Sitesi

Şüphelenmeyen kurbanları infaza çekmek için yasal bir uygulama olarak kendini gizler. Ayrıca, WarHawk bir dizi API ve DLL adının şifresini bir Dize Şifre Çözme Rutini kullanarak çözer ve bu, Şifrelenmiş Onaltılı Bayt’ı girdi olarak alır ve ardından dizenin şifresini çözmek için her bir baytı Anahtar: “0x42” ile çıkarır.

https://lh5.googleusercontent.com/9PyOtymwhv439cgHE-1uIHhmwijtqvSM3y2vb6iZVwHYoOvldK3zpDRqRkpLnsVyqvGM9kONZ7EW2lJiCaI0vafYN5R6yuoERKacquzRsZ2p8vXquDFuhcyDgMlg4I4WdOLE265BXf0OaTD6FnSDr6X2cUkcxklJerJcwJPP4O9k6xLrODrUMYkozQ

WarHawk Backdoor yasal uygulamalar olarak gizleniyor

İndirme ve yürütme modülü, CnC sunucusu tarafından sağlanan uzak URL’den ek yükleri indirmek ve yürütmekten sorumludur.

Komut yürütme modülü, Komuta ve Kontrol’den alınan virüslü makinede sistem komutlarının yürütülmesinden sorumludur. Daha sonra, Dosya Yöneticisi InfoExfil modülü, öncelikle bir Modül başlatma talebini CnC sunucusuna göndererek Dosya Yöneticisi bilgilerini toplar ve gönderir.

UploadFromC2 modülünde, en son WarHawk Backdoor’a eklenen yeni bir özelliktir ve tehdit aktörünün Komuta ve Kontrol Sunucusundan virüslü makineye dosya yüklemesine olanak tanır.

https://lh3.googleusercontent.com/DgjDCPzxRWLtOPWdCUdG4_OqNleERPMYnYtv1JsghSsr8RYKrbxPIRCoEfu-0NurFKP_oPgFitl_eJnG6xyB-ULbO_JthZgUUEp3y9AR5CXbI7FsHtfkv75Ymtw61Hk0HUW7xyZWmfP8DqGqoDezX4YU10Fn0fUJBhF1ZvUZix61oHB5VuFoqhr_tQ

SideWinder Ağ Altyapısı

Araştırmacılar, kampanyanın Pakistan’ı hedef aldığını belirlemeye yardımcı olan göstergelerin, Pakistan Ulusal Elektrik Gücü Düzenleme Kurumu web sitesinde barındırılan ISO dosyalarının, Pakistan Kabine Bölümü tarafından bir tuzak olarak kullanılan tehdit aktörlerinin ve zaman dilimi kontrolünün aşağıdakiler olduğunu söylüyorlar. Kötü amaçlı yazılımın yalnızca Pakistan Standart Saati altında yürütülmesini sağlayan “Pakistan Standart Saati”.

Rapor, “SideWinder APT Grubu, hedeflerine karşı başarılı casusluk saldırı kampanyaları yürütmek için taktiklerini sürekli olarak geliştiriyor ve cephaneliğine yeni kötü amaçlı yazılımlar ekliyor.”



Source link