×

Новая группировка проводит шпионские кампании против Пакистана

Новая группировка проводит шпионские кампании против Пакистана

Киберпреступники используют эффективные инструменты, чтобы проводить незаметные массовые кампании.

Группировка правительственных хакеров SideWinder (APT-C-17, Rattlesnake и Razor Tiger), известная своими кибератаками на пакистанские военные организации, скомпрометировала официальный сайт Национального органа по регулированию электроэнергетики (NEPRA), чтобы доставить специализированное вредоносное ПО WarHawk.

Согласно отчету исследователей Zscaler ThreatLabz, недавно обнаруженный TTPs – внедрение KernelCallBackTable и проверка стандартного часового пояса Пакистана, чтобы обеспечить эффективную целенаправленную кампанию.

Обнаруженная кампания использует зараженный ISO-файл, размещенный на веб-сайте NEPRA, который приводит к развертыванию вредоносного ПО WarHawk. При этом артефакт также действует как приманка, чтобы скрыть вредоносную активность, отображая рекомендацию, выданную Отделом кабинета министров Пакистана в июле 2022 года.


В свою очередь, вредоносное ПО WarHawk маскируется под легитимные приложения, такие как ASUS Update Setup и Realtek HD Audio Manager, и после запуска эксфильтрует системные метаданные на жестко закодированный удаленный сервер, а также доставляет полезную нагрузку.

Сюда входят:

  • модуль выполнения команд, который отвечает за выполнение команд, полученных от C&C-сервера, на зараженной машине;
  • модуль файлового менеджера, который рекурсивно перечисляет файлы, находящиеся на разных дисках;
  • модуль загрузки, который передает выбранные файлы на сервер.

В качестве полезной нагрузки второго этапа используется загрузчик Cobalt Strike, который проверяет часовой пояс хоста, чтобы подтвердить его соответствие стандартному времени Пакистана, в противном случае процесс завершается.

Если все проверки антианализа успешно пройдены, загрузчик внедряет шелл-код в процесс «notepad.exe» с помощью метода, называемого внедрением процесса «KernelCallbackTable», при этом операторы извлекают исходный код из технической статьи, опубликованной в апреле 2022 года исследователем Capt. Meelo.

Затем шелл-код расшифровывает и загружает Cobalt Strike Beacon для установления соединения с сервером управления и контроля (C&C).

По данным компании Zscaler, SideWinder повторно использует свою сетевую инфраструктуру, которая использовалась группой в предыдущих шпионских кампаниях против Пакистана.

Кибератака на базу данных студентов Индии приведет к массовым взломам индусов

Утечка данных студентов вынуждает повысить кибербезопасность страны.

Новая кампания социальной инженерии отбирает номера у мобильных операторов

Хакеры атакуют телекоммуникационные компании, чтобы завладеть чужим номером.

В России предложили ввести идентификацию геймеров

По мнению законодателей,  идентификация геймеров, позволит запретить несовершеннолетним играть в жестокие игры.