Търсене
Close this search box.

Разкрита е инфраструктурата на държавната група Sidewinder

Изследователи в областта на киберсигурността са разкрили недокументирана досега инфраструктура за атаки, използвана от активната държавно спонсорирана група SideWinder за нанасяне на удари по структури, разположени в Пакистан и Китай.

Тя се състои от мрежа от 55 домейна и IP адреса, използвани от субекта на заплахата, съобщават компаниите за киберсигурност Group-IB и Bridewell в съвместен доклад, споделен с The Hacker News.

„Идентифицираните фишинг домейни имитират различни организации в новинарския, правителствения, телекомуникационния и финансовия сектор“, казват изследователите Никита Ростовцев, Джошуа Пени и Яшрадж Соланки.

Известно е, че SideWinder е активен поне от 2012 г., като веригите за атаки използват предимно spear-phishing като механизъм за проникване, за да се утвърдят в целеви среди.

Широко разпространено е мнението, че целевият обхват на групата е свързан с индийски шпионски интереси. Сред най-често атакуваните държави са Пакистан, Китай, Шри Ланка, Афганистан, Бангладеш, Мианмар, Филипините, Катар и Сингапур.

По-рано през февруари тази година Group-IB извади на бял свят доказателства, че SideWinder може да е била насочена към 61 правителствени, военни, правоприлагащи и други организации в Азия между юни и ноември 2021 г.

Неотдавна бе наблюдавано, че националната група използва техника, известна като сървърен полиморфизъм, в уклончиви атаки, насочени към пакистански правителствени организации.

Новооткритите домейни имитират правителствени организации в Пакистан, Китай и Индия и се характеризират с използването на едни и същи стойности в записите на WHOIS и сходна регистрационна информация.

На някои от тези домейни са хоствани примамливи документи на правителствена тематика, които са предназначени за изтегляне на неизвестен полезен товар на следващ етап.

По-голямата част от тези документи са качени във VirusTotal през март 2023 г. от Пакистан. Един от тях е Microsoft Word файл, за който се твърди, че е от Военноморския колеж на Пакистан (PNWC), който е анализиран от QiAnXin и BlackBerry през последните месеци.

Разкрит е и файл с бърз достъп до Windows (LNK), който е качен във VirusTotal от Пекин в края на ноември 2022 г. LNK файлът, от своя страна, е проектиран така, че да стартира файл с HTML приложение (HTA), извлечен от отдалечен сървър, който подправя системата за електронна поща на университета Цинхуа (mailtsinghua.sinacn[.]co).

Друг LNK файл, качен във VirusTotal по същото време от Катманду, използва подобен метод за извличане на HTA файл от домейн, маскиран като уебсайт на непалското правителство (mailv.mofs-gov[.]org).

По-нататъшното разследване на инфраструктурата на SideWinder доведе до откриването на зловреден APK файл за Android (226617), който е качен във VirusTotal от Шри Ланка през март 2023 г.

Измамното приложение за Android се представя за „Ludo Game“ и подканва потребителите да му предоставят достъп до контактите, местоположението, телефонните логове, SMS съобщенията и календара, като на практика функционира като шпионски софтуер, способен да събира чувствителна информация.

Group-IB заяви, че приложението също така показва сходства с фалшивото приложение Secure VPN, което компанията разкри през юни 2022 г. като разпространявано до цели в Пакистан с помощта на система за насочване на трафика (TDS), наречена AntiBot.

Като цяло домейните сочат, че SideWinder е насочил вниманието си към финансови, правителствени и правоприлагащи организации, както и към компании, специализирани в електронната търговия и средствата за масова информация в Пакистан и Китай.

„Подобно на много други APT групи, SideWinder разчита на целенасочен spear-phishing като първоначален вектор“, казват изследователите. „Затова е важно организациите да внедрят решения за защита на бизнес електронната поща, които детонират зловредното съдържание.“

 

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...

Всичко за Закона за онлайн безопасността на дец...

За последен път Конгресът прие закон за защита на децата в интернет...
Бъдете социални
Още по темата
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
24/07/2024

Китайските хакери разполага...

Китайската хакерска група, проследена като „Evasive...
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!