Изследователи в областта на киберсигурността са разкрили недокументирана досега инфраструктура за атаки, използвана от активната държавно спонсорирана група SideWinder за нанасяне на удари по структури, разположени в Пакистан и Китай.

Тя се състои от мрежа от 55 домейна и IP адреса, използвани от субекта на заплахата, съобщават компаниите за киберсигурност Group-IB и Bridewell в съвместен доклад, споделен с The Hacker News.

„Идентифицираните фишинг домейни имитират различни организации в новинарския, правителствения, телекомуникационния и финансовия сектор“, казват изследователите Никита Ростовцев, Джошуа Пени и Яшрадж Соланки.

Известно е, че SideWinder е активен поне от 2012 г., като веригите за атаки използват предимно spear-phishing като механизъм за проникване, за да се утвърдят в целеви среди.

Широко разпространено е мнението, че целевият обхват на групата е свързан с индийски шпионски интереси. Сред най-често атакуваните държави са Пакистан, Китай, Шри Ланка, Афганистан, Бангладеш, Мианмар, Филипините, Катар и Сингапур.

По-рано през февруари тази година Group-IB извади на бял свят доказателства, че SideWinder може да е била насочена към 61 правителствени, военни, правоприлагащи и други организации в Азия между юни и ноември 2021 г.

Неотдавна бе наблюдавано, че националната група използва техника, известна като сървърен полиморфизъм, в уклончиви атаки, насочени към пакистански правителствени организации.

Новооткритите домейни имитират правителствени организации в Пакистан, Китай и Индия и се характеризират с използването на едни и същи стойности в записите на WHOIS и сходна регистрационна информация.

На някои от тези домейни са хоствани примамливи документи на правителствена тематика, които са предназначени за изтегляне на неизвестен полезен товар на следващ етап.

По-голямата част от тези документи са качени във VirusTotal през март 2023 г. от Пакистан. Един от тях е Microsoft Word файл, за който се твърди, че е от Военноморския колеж на Пакистан (PNWC), който е анализиран от QiAnXin и BlackBerry през последните месеци.

Разкрит е и файл с бърз достъп до Windows (LNK), който е качен във VirusTotal от Пекин в края на ноември 2022 г. LNK файлът, от своя страна, е проектиран така, че да стартира файл с HTML приложение (HTA), извлечен от отдалечен сървър, който подправя системата за електронна поща на университета Цинхуа (mailtsinghua.sinacn[.]co).

Друг LNK файл, качен във VirusTotal по същото време от Катманду, използва подобен метод за извличане на HTA файл от домейн, маскиран като уебсайт на непалското правителство (mailv.mofs-gov[.]org).

По-нататъшното разследване на инфраструктурата на SideWinder доведе до откриването на зловреден APK файл за Android (226617), който е качен във VirusTotal от Шри Ланка през март 2023 г.

Измамното приложение за Android се представя за „Ludo Game“ и подканва потребителите да му предоставят достъп до контактите, местоположението, телефонните логове, SMS съобщенията и календара, като на практика функционира като шпионски софтуер, способен да събира чувствителна информация.

Group-IB заяви, че приложението също така показва сходства с фалшивото приложение Secure VPN, което компанията разкри през юни 2022 г. като разпространявано до цели в Пакистан с помощта на система за насочване на трафика (TDS), наречена AntiBot.

Като цяло домейните сочат, че SideWinder е насочил вниманието си към финансови, правителствени и правоприлагащи организации, както и към компании, специализирани в електронната търговия и средствата за масова информация в Пакистан и Китай.

„Подобно на много други APT групи, SideWinder разчита на целенасочен spear-phishing като първоначален вектор“, казват изследователите. „Затова е важно организациите да внедрят решения за защита на бизнес електронната поща, които детонират зловредното съдържание.“

 

Източник: The Hacker News

Подобни публикации

22 април 2025

3дравни организации станаха жертва на мащабни п...

Две здравни организации в САЩ потвърдиха, че са станали обект на се...
22 април 2025

Културата – почвата на киберсигурността, а не о...

Когато става въпрос за киберсигурност, хората често си представят с...
22 април 2025

Microsoft извършва най-мащабната реформа в кибе...

Microsoft обяви, че е завършила „най-големия проект за инжене...
22 април 2025

Севернокорейски хакери използват Zoom за кражба...

Севернокорейски киберпрестъпници са усъвършенствали тактиките си за...
22 април 2025

Exaforce с амбиция да преосмисли SOC: 75 милион...

Сан Франсиско се превръща във все по-важен хъб за иновации в киберс...
21 април 2025

Kenzo Security: Иновативна платформа за киберси...

Стартъпът Kenzo Security обяви излизането си от скрит режим, съобща...
Бъдете социални
Още по темата
22/04/2025

Севернокорейски хакери изпо...

Севернокорейски киберпрестъпници са усъвършенствали тактиките си...
21/04/2025

Кибератака прекъсва учебния...

Киберинцидент с широк обхват засегна няколко...
20/04/2025

Скритата еволюция на зловре...

Днес зловредният софтуер не просто нараства...
Последно добавени
22/04/2025

3дравни организации станаха...

Две здравни организации в САЩ потвърдиха,...
22/04/2025

Културата – почвата на кибе...

Когато става въпрос за киберсигурност, хората...
22/04/2025

Microsoft извършва най-маща...

Microsoft обяви, че е завършила „най-големия проект...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!