Разкрита е инфраструктурата на държавната група Sidewinder

Изследователи в областта на киберсигурността са разкрили недокументирана досега инфраструктура за атаки, използвана от активната държавно спонсорирана група SideWinder за нанасяне на удари по структури, разположени в Пакистан и Китай.

Тя се състои от мрежа от 55 домейна и IP адреса, използвани от субекта на заплахата, съобщават компаниите за киберсигурност Group-IB и Bridewell в съвместен доклад, споделен с The Hacker News.

„Идентифицираните фишинг домейни имитират различни организации в новинарския, правителствения, телекомуникационния и финансовия сектор“, казват изследователите Никита Ростовцев, Джошуа Пени и Яшрадж Соланки.

Известно е, че SideWinder е активен поне от 2012 г., като веригите за атаки използват предимно spear-phishing като механизъм за проникване, за да се утвърдят в целеви среди.

Широко разпространено е мнението, че целевият обхват на групата е свързан с индийски шпионски интереси. Сред най-често атакуваните държави са Пакистан, Китай, Шри Ланка, Афганистан, Бангладеш, Мианмар, Филипините, Катар и Сингапур.

По-рано през февруари тази година Group-IB извади на бял свят доказателства, че SideWinder може да е била насочена към 61 правителствени, военни, правоприлагащи и други организации в Азия между юни и ноември 2021 г.

Неотдавна бе наблюдавано, че националната група използва техника, известна като сървърен полиморфизъм, в уклончиви атаки, насочени към пакистански правителствени организации.

Новооткритите домейни имитират правителствени организации в Пакистан, Китай и Индия и се характеризират с използването на едни и същи стойности в записите на WHOIS и сходна регистрационна информация.

На някои от тези домейни са хоствани примамливи документи на правителствена тематика, които са предназначени за изтегляне на неизвестен полезен товар на следващ етап.

По-голямата част от тези документи са качени във VirusTotal през март 2023 г. от Пакистан. Един от тях е Microsoft Word файл, за който се твърди, че е от Военноморския колеж на Пакистан (PNWC), който е анализиран от QiAnXin и BlackBerry през последните месеци.

Разкрит е и файл с бърз достъп до Windows (LNK), който е качен във VirusTotal от Пекин в края на ноември 2022 г. LNK файлът, от своя страна, е проектиран така, че да стартира файл с HTML приложение (HTA), извлечен от отдалечен сървър, който подправя системата за електронна поща на университета Цинхуа (mailtsinghua.sinacn[.]co).

Друг LNK файл, качен във VirusTotal по същото време от Катманду, използва подобен метод за извличане на HTA файл от домейн, маскиран като уебсайт на непалското правителство (mailv.mofs-gov[.]org).

По-нататъшното разследване на инфраструктурата на SideWinder доведе до откриването на зловреден APK файл за Android (226617), който е качен във VirusTotal от Шри Ланка през март 2023 г.

Измамното приложение за Android се представя за „Ludo Game“ и подканва потребителите да му предоставят достъп до контактите, местоположението, телефонните логове, SMS съобщенията и календара, като на практика функционира като шпионски софтуер, способен да събира чувствителна информация.

Group-IB заяви, че приложението също така показва сходства с фалшивото приложение Secure VPN, което компанията разкри през юни 2022 г. като разпространявано до цели в Пакистан с помощта на система за насочване на трафика (TDS), наречена AntiBot.

Като цяло домейните сочат, че SideWinder е насочил вниманието си към финансови, правителствени и правоприлагащи организации, както и към компании, специализирани в електронната търговия и средствата за масова информация в Пакистан и Китай.

„Подобно на много други APT групи, SideWinder разчита на целенасочен spear-phishing като първоначален вектор“, казват изследователите. „Затова е важно организациите да внедрят решения за защита на бизнес електронната поща, които детонират зловредното съдържание.“

 

Източник: The Hacker News

Подобни публикации

1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
Бъдете социални
Още по темата
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
30/05/2023

Нов хакерски форум пусна да...

База данни за известния хакерски форум...
30/05/2023

CosmicEnergy е способен да ...

Руски софтуер, който може да изключва...
Последно добавени
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!