Недавно лаборатория Zscaler ThreatLabz обнаружила новое вредоносное ПО, используемое группой угроз SideWinder APT в кампаниях, направленных на Пакистан: бэкдор, который мы назвали "WarHawk". SideWinder APT, также известная как Rattlesnake или T-APT4, - это предполагаемая индийская группа угроз, действующая по меньшей мере с 2012 года, с историей нападений на правительственные, военные и коммерческие организации в Азии, особенно в Пакистане.
Недавно обнаруженный бэкдор WarHawk содержит различные вредоносные модули, которые обеспечивают Cobalt Strike, включающий новые TTP, такие как KernelCallBackTable Injection и проверка пакистанского стандартного часового пояса, для обеспечения победоносной кампании.
- APT-кампания SideWinder нацелена на Пакистан с новым бэкдором под названием "WarHawk".
- Бэкдор WarHawk состоит из четырех модулей:
- Модуль загрузки и выполнения
- Модуль выполнения команд
- Модуль управления файлами InfoExfil
- Модуль UploadFromC2
- WarHawk поручено доставить Cobalt Strike в качестве конечной полезной нагрузки, которая была загружена и выполнена с помощью модуля Download & Execute Module.
- Пользовательский загрузчик Cobalt Strike, используемый APT SideWinder, использует инъекцию процесса KernelCallBackTable (техника, ранее использованная APT FinFisher и Lazarus) для загрузки маяка Cobalt Strike, а также проверку часового пояса, которая гарантирует, что загрузчик будет выполнен только в условиях пакистанского стандартного времени.
- В APT SideWinder используются ISO-файлы в комплекте с LNK-файлом, ложный PDF, отображающий копии рекомендаций по кибербезопасности, выпущенных Пакистанским отделом кабинета министров (используется в качестве приманки), и бэкдор WarHawk, который запускается LNK-файлом.
- Zscaler обнаружили файл ISO на легитимном сайте Национального управления по регулированию электроэнергетики Пакистана "nepra[.]org[.]pk", что может указывать на компрометацию их веб-сервера.
Indicators of Compromise
Domains
- fia-gov.org
- customs-lk.org
URLs
- 146.190.235.137/DDRA.exe
- 146.190.235.137/OneDrive.exe
- 146.190.235.137/Snitch.exe
- 146.190.235.137/wh/glass.php
- nepra.org.pk/css/32-Advisory-No-32.iso
MD5
- 40f86b56ab79e94893e4c6f1a0a099a1
- 5cff6896e0505e8d6d98bff35d10c43a
- 63d6d8213d9cc070b2a3dfd3c5866564
- 8f9cf5c828cb02c83f8df52ccae03e2a
- d0acccab52778b77c96346194e38b244
- d510808a743e6afc705fc648ca7f896a
- ec33c5e1773b510e323bea8f70dcddb0