Изследователи в областта на киберсигурността са разкрили недокументирана досега инфраструктура за атаки, използвана от активната държавно спонсорирана група SideWinder за нанасяне на удари по структури, разположени в Пакистан и Китай.

Тя се състои от мрежа от 55 домейна и IP адреса, използвани от субекта на заплахата, съобщават компаниите за киберсигурност Group-IB и Bridewell в съвместен доклад, споделен с The Hacker News.

„Идентифицираните фишинг домейни имитират различни организации в новинарския, правителствения, телекомуникационния и финансовия сектор“, казват изследователите Никита Ростовцев, Джошуа Пени и Яшрадж Соланки.

Известно е, че SideWinder е активен поне от 2012 г., като веригите за атаки използват предимно spear-phishing като механизъм за проникване, за да се утвърдят в целеви среди.

Широко разпространено е мнението, че целевият обхват на групата е свързан с индийски шпионски интереси. Сред най-често атакуваните държави са Пакистан, Китай, Шри Ланка, Афганистан, Бангладеш, Мианмар, Филипините, Катар и Сингапур.

По-рано през февруари тази година Group-IB извади на бял свят доказателства, че SideWinder може да е била насочена към 61 правителствени, военни, правоприлагащи и други организации в Азия между юни и ноември 2021 г.

Неотдавна бе наблюдавано, че националната група използва техника, известна като сървърен полиморфизъм, в уклончиви атаки, насочени към пакистански правителствени организации.

Новооткритите домейни имитират правителствени организации в Пакистан, Китай и Индия и се характеризират с използването на едни и същи стойности в записите на WHOIS и сходна регистрационна информация.

На някои от тези домейни са хоствани примамливи документи на правителствена тематика, които са предназначени за изтегляне на неизвестен полезен товар на следващ етап.

По-голямата част от тези документи са качени във VirusTotal през март 2023 г. от Пакистан. Един от тях е Microsoft Word файл, за който се твърди, че е от Военноморския колеж на Пакистан (PNWC), който е анализиран от QiAnXin и BlackBerry през последните месеци.

Разкрит е и файл с бърз достъп до Windows (LNK), който е качен във VirusTotal от Пекин в края на ноември 2022 г. LNK файлът, от своя страна, е проектиран така, че да стартира файл с HTML приложение (HTA), извлечен от отдалечен сървър, който подправя системата за електронна поща на университета Цинхуа (mailtsinghua.sinacn[.]co).

Друг LNK файл, качен във VirusTotal по същото време от Катманду, използва подобен метод за извличане на HTA файл от домейн, маскиран като уебсайт на непалското правителство (mailv.mofs-gov[.]org).

По-нататъшното разследване на инфраструктурата на SideWinder доведе до откриването на зловреден APK файл за Android (226617), който е качен във VirusTotal от Шри Ланка през март 2023 г.

Измамното приложение за Android се представя за „Ludo Game“ и подканва потребителите да му предоставят достъп до контактите, местоположението, телефонните логове, SMS съобщенията и календара, като на практика функционира като шпионски софтуер, способен да събира чувствителна информация.

Group-IB заяви, че приложението също така показва сходства с фалшивото приложение Secure VPN, което компанията разкри през юни 2022 г. като разпространявано до цели в Пакистан с помощта на система за насочване на трафика (TDS), наречена AntiBot.

Като цяло домейните сочат, че SideWinder е насочил вниманието си към финансови, правителствени и правоприлагащи организации, както и към компании, специализирани в електронната търговия и средствата за масова информация в Пакистан и Китай.

„Подобно на много други APT групи, SideWinder разчита на целенасочен spear-phishing като първоначален вектор“, казват изследователите. „Затова е важно организациите да внедрят решения за защита на бизнес електронната поща, които детонират зловредното съдържание.“