Изследователи в областта на киберсигурността са разкрили недокументирана досега инфраструктура за атаки, използвана от активната държавно спонсорирана група SideWinder за нанасяне на удари по структури, разположени в Пакистан и Китай.
Тя се състои от мрежа от 55 домейна и IP адреса, използвани от субекта на заплахата, съобщават компаниите за киберсигурност Group-IB и Bridewell в съвместен доклад, споделен с The Hacker News.
„Идентифицираните фишинг домейни имитират различни организации в новинарския, правителствения, телекомуникационния и финансовия сектор“, казват изследователите Никита Ростовцев, Джошуа Пени и Яшрадж Соланки.
Известно е, че SideWinder е активен поне от 2012 г., като веригите за атаки използват предимно spear-phishing като механизъм за проникване, за да се утвърдят в целеви среди.
Широко разпространено е мнението, че целевият обхват на групата е свързан с индийски шпионски интереси. Сред най-често атакуваните държави са Пакистан, Китай, Шри Ланка, Афганистан, Бангладеш, Мианмар, Филипините, Катар и Сингапур.
По-рано през февруари тази година Group-IB извади на бял свят доказателства, че SideWinder може да е била насочена към 61 правителствени, военни, правоприлагащи и други организации в Азия между юни и ноември 2021 г.
Неотдавна бе наблюдавано, че националната група използва техника, известна като сървърен полиморфизъм, в уклончиви атаки, насочени към пакистански правителствени организации.
Новооткритите домейни имитират правителствени организации в Пакистан, Китай и Индия и се характеризират с използването на едни и същи стойности в записите на WHOIS и сходна регистрационна информация.
На някои от тези домейни са хоствани примамливи документи на правителствена тематика, които са предназначени за изтегляне на неизвестен полезен товар на следващ етап.
По-голямата част от тези документи са качени във VirusTotal през март 2023 г. от Пакистан. Един от тях е Microsoft Word файл, за който се твърди, че е от Военноморския колеж на Пакистан (PNWC), който е анализиран от QiAnXin и BlackBerry през последните месеци.
Разкрит е и файл с бърз достъп до Windows (LNK), който е качен във VirusTotal от Пекин в края на ноември 2022 г. LNK файлът, от своя страна, е проектиран така, че да стартира файл с HTML приложение (HTA), извлечен от отдалечен сървър, който подправя системата за електронна поща на университета Цинхуа (mailtsinghua.sinacn[.]co).
Друг LNK файл, качен във VirusTotal по същото време от Катманду, използва подобен метод за извличане на HTA файл от домейн, маскиран като уебсайт на непалското правителство (mailv.mofs-gov[.]org).
По-нататъшното разследване на инфраструктурата на SideWinder доведе до откриването на зловреден APK файл за Android (226617), който е качен във VirusTotal от Шри Ланка през март 2023 г.
Измамното приложение за Android се представя за „Ludo Game“ и подканва потребителите да му предоставят достъп до контактите, местоположението, телефонните логове, SMS съобщенията и календара, като на практика функционира като шпионски софтуер, способен да събира чувствителна информация.
Group-IB заяви, че приложението също така показва сходства с фалшивото приложение Secure VPN, което компанията разкри през юни 2022 г. като разпространявано до цели в Пакистан с помощта на система за насочване на трафика (TDS), наречена AntiBot.
Като цяло домейните сочат, че SideWinder е насочил вниманието си към финансови, правителствени и правоприлагащи организации, както и към компании, специализирани в електронната търговия и средствата за масова информация в Пакистан и Китай.
„Подобно на много други APT групи, SideWinder разчита на целенасочен spear-phishing като първоначален вектор“, казват изследователите. „Затова е важно организациите да внедрят решения за защита на бизнес електронната поща, които детонират зловредното съдържание.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.