İyi bilinen gelişmiş bir Kalıcı Tehdit (APT) grubu olan Sidewinder, taktiklerini Nepal’de devam eden protestolardan yararlanmak için uyarladı ve kimlik avı ile birlikte mobil ve Windows kötü amaçlı yazılım kampanyasını konuşlandırdı.
Grup, saygın ulusal kurumlar ve rakamlar olarak maskelenerek, ülkenin siyasi kargaşasını izleyen kullanıcılardan hassas verileri hassas bir şekilde hasar vermeyi amaçlamaktadır.
Hükümetin sosyal medyaya yasağı ve yolsuzluk suçlamaları tarafından ateşlenen protestolar, düzinelerce ölüm ve kilit liderliğin ortadan kaldırılmasına yol açarak sosyal mühendislik istismarları için verimli bir zemin yarattı.
Bir kampanya telinde, Sidewinder operatörleri Nepal acil durum hizmetini taklit eden bir kimlik avı yemini hazırladılar.
Mağdurlar, ikna edici bir e -posta şablonu ve sahte bir alan adıyla tamamlanan acil müdahale ekiplerinden mesaj alırlar ve kullanıcıların hileli bir portalda kimlik bilgilerini girmelerini ister.
Kimlik bilgileri gönderildikten sonra, saldırganlar kişisel ve kurumsal hesaplara erişir ve daha sonra daha fazla uzlaşma için kullanılır.
Eşzamanlı olarak, Sidewinder, Eylül 2025 itibariyle Nepal’in oyunculuk başkanı General Ashok Sigdel’in kişiliğinden yararlanarak bir Android kötü amaçlı yazılım suşu çıkardı.
General’den güncelleme veya ifadeler arayan kullanıcılar bunun yerine gen_ashok_sigdel_live.apk adlı bir APK yüklemeye yönlendirilir.
Decoy uygulaması, meşru görünümlü haber akışları ve canlı video akışları görüntüler ve hain davranışlarını maskeliyor.
İstenen izinler verildikten sonra, kötü amaçlı yazılım, belgeleri, resimleri ve diğer dosyaları cihazdan sessizce toplar ve bunları playservicess.com adresindeki bir komut ve kontrol uç noktasına ekler.
APK, tersine mühendislik Dosya numaralandırması ve şifreli veri aktarımı için rutinleri gösteren kötü amaçlı yazılım kodunun IDA tarzı bir görünümünü ortaya çıkarır.
Windows kötü amaçlı yazılım ve paralel Android örnekleri
Sidewinder Windows odaklı bileşen, resmi bir Nepal acil durum başvurusunu taklit eden acil durumpapp.exe adlı bir damlalık kullanır.
Yürütüldüğünde, kullanıcı dizinlerinde ve sistem yapılandırmalarında yüksek değerli verileri tarayan bir arka kapı yükler.
Paralel olarak, başka bir Android örneği olan acil durum_help.apk, gen_ashok_sigdel_live.apk’a benzer şekilde çalışır ve grubun birden fazla mobil kullanıcı segmentinde erişimini genişletir.
Bu yüklerin kurbanları genellikle hem Android APK’lara hem de Windows EXE’ye bağlantılara sahip sahte bir “Acil Durum Hattı” web sitesi ile karşılaşırlar.
Enfekte ortamlardan ağ yakalamaları, çok parçalı HTTP eksfiltrasyon direklerinde kullanılan “-qwerty” olarak işaretlenmiş imza sınırlarını ortaya çıkarır. Bu adli eserler, devam eden veri hırsızlığını bozmaya çalışan olay müdahalecileri için paha biçilmez olabilir.
Avcılık göstergeleri
Potansiyel yan sokma enfeksiyonlarını araştıran savunucular birkaç temel esere dikkat etmelidir. Mobil uzlaşmalar için araştırmacılar, “gen_ashok_sigdel_live.apk” veya “acil durum_help.apk” adlı uygulama kurulum günlüklerini bulabilirler. Windows ana bilgisayarlarında, şunlar gibi taşınabilir veritabanı (PDB) yolları:
textC:\Users\asdf\Desktop\9\x64\Release\ConsoleApplication1.pdb
acil acilpapp.exe içine gömülü kalkınma artıklarına işaret edebilir. Ayrıca, weberver yolları /ghijkl/ghijkl/index.php Sundurulmuş dosyalar için evreleme noktaları olarak hizmet edin.
Ağ savunucuları, “Sınır = —- Qwerty” içeren HTTP trafiği için uyarılar yapılandırmalı ve PlayServicess.com’a DNS isteklerini izlemelidir.
Nepal’in siyasi durumunu izleyen personel olan kuruluşlar, hedeflenen kimlik avı yemleri konusunda farkındalığı artırmalı ve uygulamaları kurmadan önce katı doğrulama süreçlerini zorlamalıdır.
Bilinmeyen APK kurulumlarını kısıtlamak için Mobil Cihaz Yönetimi (MDM) çözümlerinin uygulanması ve Windows varlıklarında uç nokta algılama ve yanıt (EDR) araçlarının kullanılması riski önemli ölçüde azaltabilir.
Ortaya çıkan Sidewinder taktikleri hakkındaki düzenli tehdit istihbarat güncellemeleri ve kullanıcı eğitimi kampanyaları, bu fırsatçı uygunluğa karşı esnekliği artıracaktır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.