SideWinder APT IOCs

security IOC

Недавно лаборатория Zscaler ThreatLabz обнаружила новое вредоносное ПО, используемое группой угроз SideWinder APT в кампаниях, направленных на Пакистан: бэкдор, который мы назвали "WarHawk". SideWinder APT, также известная как Rattlesnake или T-APT4, - это предполагаемая индийская группа угроз, действующая по меньшей мере с 2012 года, с историей нападений на правительственные, военные и коммерческие организации в Азии, особенно в Пакистане.

Недавно обнаруженный бэкдор WarHawk содержит различные вредоносные модули, которые обеспечивают Cobalt Strike, включающий новые TTP, такие как KernelCallBackTable Injection и проверка пакистанского стандартного часового пояса, для обеспечения победоносной кампании.

  • APT-кампания SideWinder нацелена на Пакистан с новым бэкдором под названием "WarHawk".
  • Бэкдор WarHawk состоит из четырех модулей:
    • Модуль загрузки и выполнения
    • Модуль выполнения команд
    • Модуль управления файлами InfoExfil
    • Модуль UploadFromC2
  • WarHawk поручено доставить Cobalt Strike в качестве конечной полезной нагрузки, которая была загружена и выполнена с помощью модуля Download & Execute Module.
  • Пользовательский загрузчик Cobalt Strike, используемый APT SideWinder, использует инъекцию процесса KernelCallBackTable (техника, ранее использованная APT FinFisher и Lazarus) для загрузки маяка Cobalt Strike, а также проверку часового пояса, которая гарантирует, что загрузчик будет выполнен только в условиях пакистанского стандартного времени.
  • В APT SideWinder используются ISO-файлы в комплекте с LNK-файлом, ложный PDF, отображающий копии рекомендаций по кибербезопасности, выпущенных Пакистанским отделом кабинета министров (используется в качестве приманки), и бэкдор WarHawk, который запускается LNK-файлом.
  • Zscaler обнаружили файл ISO на легитимном сайте Национального управления по регулированию электроэнергетики Пакистана "nepra[.]org[.]pk", что может указывать на компрометацию их веб-сервера.

Indicators of Compromise

Domains

  • fia-gov.org
  • customs-lk.org

URLs

  • 146.190.235.137/DDRA.exe
  • 146.190.235.137/OneDrive.exe
  • 146.190.235.137/Snitch.exe
  • 146.190.235.137/wh/glass.php
  • nepra.org.pk/css/32-Advisory-No-32.iso

MD5

  • 40f86b56ab79e94893e4c6f1a0a099a1
  • 5cff6896e0505e8d6d98bff35d10c43a
  • 63d6d8213d9cc070b2a3dfd3c5866564
  • 8f9cf5c828cb02c83f8df52ccae03e2a
  • d0acccab52778b77c96346194e38b244
  • d510808a743e6afc705fc648ca7f896a
  • ec33c5e1773b510e323bea8f70dcddb0
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий