SideWinder APT IOCs - Part 3

SideWinder, также известная как T-APT-04 или RattleSnake, - активная группа постоянных угроз (APT), которая с 2012 года атакует организации в Южной и Юго-Восточной Азии. Ее основными целями были военные и правительственные учреждения в таких странах, как Пакистан, Шри-Ланка и Непал. Недавно SideWinder расширила сферу своего влияния, начав новые атаки на стратегические инфраструктуры и другие высокопоставленные организации на Ближнем Востоке и в Африке.

SideWinder APT

Отличительной чертой недавно замеченной деятельности SideWinder является использование фишинговых писем для доставки вредоносных файлов, часто документов Microsoft OOXML или ZIP-архивов, содержащих вредоносные LNK-файлы. После открытия этих файлов запускается многоступенчатый процесс заражения, который в конечном итоге приводит к установке инструмента шпионажа StealerBot. Этот инструмент предназначен для действий после компрометации, таких как кража конфиденциальной информации, захват скриншотов, регистрация нажатий клавиш и кража учетных данных.

Тактика SideWinder включает использование уязвимостей, таких как CVE-2017-11882, через вредоносные RTF-файлы. Группа также использует публичные эксплойты, вредоносные скрипты и удаленную инъекцию шаблонов. Вредоносное ПО использует множество методов обхода, таких как обнаружение песочниц и использование зашифрованных полезных нагрузок, чтобы избежать обнаружения.

Инфраструктура SideWinder включает в себя множество доменов и серверов, часто размещаемых на виртуальных частных серверах (VPS) на короткий период времени. Основными целями группы являются правительственные, военные и инфраструктурные структуры, а также дипломатические учреждения в нескольких странах. По данным Kapersky, многое известно об их методах первоначального заражения, однако их операции после компрометации остаются не столь хорошо изученными.

Indicators of Compromise

Domains

• 126-com.live
• 163inc.com
• afmat.tech
• alit.live
• aliyum.tech
• aliyumm.tech
• asyn.info
• ausibedu.org
• bol-south.org
• cnsa-gov.org
• colot.info
• comptes.tech
• condet.org
• conft.live
• dafpak.org
• decoty.tech
• defenec.net
• defpak.org
• detru.info
• dgps-govpk.co
• dgps-govpk.com
• dinfed.co
• dirctt88.co
• dirctt88.net
• direct88.co
• direct888.net
• directt888.com
• donwloaded.com
• donwloaded.net
• donwload-file.com
• dowmload.net
• downld.net
• downloadabledocx.com
• download-file.net
• dynat.tech
• dytt88.org
• e1ix.mov
• e1x.tech
• fia-gov.com
• fia-gov.net
• gov-govpk.info
• govpk.info
• govpk.net
• grouit.tech
• gtrec.info
• healththebest.com
• jmicc.xyz
• kernet.info
• kretic.info
• lforvk.com
• mfacom.org
• mfa-gov.info
• mfa-gov.net
• mfagov.org
• mfa-govt.net
• mfas.pro
• mitlec.site
• mod-gov-pk.live
• mofa.email
• mofagovs.org
• moittpk.net
• moittpk.org
• mshealthcheck.live
• nactagovpk.org
• navy-mil.co
• newmofa.com
• newoutlook.live
• nopler.live
• ntcpak.live
• ntcpak.org
• ntcpk.info
• ntcpk.net
• numpy.info
• numzy.net
• nventic.info
• office-drive.live
• pafgovt.com
• paknavy-gov.org
• paknavy-govpk.info
• paknavy-govpk.net
• pdfrdr-update.com
• pdfrdr-update.info
• pmd-office.com
• pmd-office.live
• pmd-office.org
• ptcl-net.com
• scrabt.tech
• shipping-policy.info
• sjfu-edu.co
• support-update.info
• tazze.co
• tex-ideas.info
• tni-mil.com
• tsinghua-edu.tech
• tumet.info
• u1x.co
• ujsen.net
• update-govpk.co
• updtesession.online
• widge.info

MD5

• 0fbb71525d65f0196a9bfbffea285b18
• 101a63ecdd8c68434c665bf2b1d3ffc7
• 1be93704870afd0b22a4475014f199c3
• 1c36177ac4423129e301c5a40247f180
• 1ed7ad166567c46f71dc703e55d31c7a
• 2011658436a7b04935c06f59a5db7161
• 26aa30505d8358ebeb5ee15aecb1cbb0
• 2f0e150e3d6dbb1624c727d1a641e754
• 2f4ba98dcd45e59fca488f436ab13501
• 3233db78e37302b47436b550a21cdaf9
• 3a036a1846bfeceb615101b10c7c910e
• 3a6916192106ae3ac7e55bd357bc5eee
• 3ede84d84c02aa7483eb734776a20dea
• 412b6ac53aeadb08449e41dccffb1abe
• 423e150d91edc568546f0d2f064a8bf1
• 44dbdd87b60c20b22d2a7926ad2d7bea
• 47f51c7f31ab4a0d91a0f4c07b2f99d7
• 4a5e818178f9b2dc48839a5dbe0e3cc1
• 4c40fcb2a12f171533fc070464db96d1
• 515d2d6f91ba4b76847301855dfc0e83
• 54aadadcf77dec53b2566fe61b034384
• 5718c0d69939284ce4f6e0ce580958df
• 5cc784afb69c153ab325266e8a7afaf4
• 6cf6d55a3968e2176db2bba2134bbe94
• 7e97cbf25eef7fc79828c033049822af
• 8202209354ece5c53648c52bdbd064f0
• 86eeb037f5669bff655de1e08199a554
• 873079cd3e635adb609c38af71bad702
• 8d7c43913eba26f96cd656966c1e26d5
• 8e8b61e5fb6f6792f2bee0ec947f1989
• 8f83d19c2efc062e8983bce83062c9b6
• 92dd91a5e3dfb6260e13c8033b729e03
• b3650a88a50108873fc45ad3c249671a
• b69867ee5b9581687cef96e873b775ff
• bf16760ee49742225fdb2a73c1bd83c7
• c3ce4094b3411060928143f63701aa2e
• c87eb71ff038df7b517644fa5c097eac
• d0d1fba6bb7be933889ace0d6955a1d7
• d885df399fc9f6c80e2df0c290414c2f
• e1bdfa55227d37a71cdc248dc9512296
• e706fc65f433e54538a3dbb1c359d75f
• ea4b3f023bac3ad1a982cace9a6eafc3
• eef9c0a9e364b4516a83a92592ffc831
• f3058ac120a2ae7807f36899e27784ea
• f840c721e533c05d152d2bc7bf1bc165