Команда BlackBerry Threat Research and Intelligence обнаружила новую кампанию SideWinder, также известного как Razor Tiger и Rattlesnake, который обновил свою инфраструктуру и методы с середины 2023 года.
Кампания нацелена на порты и морские объекты в Индийском океане и Средиземном море, в первую очередь на Пакистан, Египет и Шри-Ланку, а затем на Бангладеш, Мьянму, Непал и Мальдивы. SideWinder использует фишинговые письма со знакомыми логотипами и темами, чтобы заманить жертв на открытие вредоносных документов, которые используют уязвимости в Microsoft Office для получения доступа к системам. Предполагается, что целью группы является шпионаж и сбор разведданных, что соответствует ее прошлым кампаниям, направленным против военных, правительственных и коммерческих организаций в Южной Азии.
Вредоносные документы используют визуальную приманку, например, поддельные письма от портовых властей, чтобы вызвать страх и срочность, заставляя жертв загружать вредоносное ПО. Документы используют известную уязвимость (CVE-2017-0199) в Microsoft Office, полагаясь на устаревшие или непропатченные системы для доставки полезной нагрузки. После открытия документы загружают дополнительные вредоносные файлы, которые выполняют shellcode, чтобы убедиться, что система не является виртуальной средой, а затем приступают к дальнейшим этапам атаки. Инфраструктура кампании включает использование узлов Tor для маскировки сетевого трафика и защитных данных DNS, чтобы избежать обнаружения.
Indicators of Compromise
URLs
- http://investigation04.session-out.com/fbd901_harassment/doc.rtf
- https://heatwave.paknavy.store/pn/510426/doc.rtf
- https://mailarmylk.mods.email/Ltr86-ef2265ef
- https://mofa-gov-sa.direct888.net/015094_consulategz
- https://moitt-gov-pk.fia-gov.net/643705null
- https://moitt-gov-pk.fia-gov.net/720705null
- https://mora.pdfadobe.com/d8149d32/mora/doc.rtf
- https://reports.dgps-govtpk.com/63645534-case/doc.rtf
- https://salary-cutting.session-out.com/37656199_notice/doc.rtf
MD5
- 2462db3be57df824f003f74d7a16cacb
- 3233db78e37302b47436b550a21cdaf9
- 379edeaa9ed92ebe6091177417b2c751
- 8d7c43913eba26f96cd656966c1e26d5
- 9345d52abd5bab4320c1273eb2c90161
- 9a1c49322a9d950c047c2edfc781b778
- c60b41f0981f617fa83a73704a10e147
- d0d1fba6bb7be933889ace0d6955a1d7
- e0bce049c71bc81afe172cd30be4d2b7
SHA256
- 006e5fe0c01712391c54319a9d1579d7208f3cfa9f49fe56a14d93f0d0e8928b
- 142c6a4c7e9efbf6f3176df3ff218449bb4f7b2a69d60060e6339f1c3cc95d93
- 512a83f1a6c404cb0ba679c7a2f3aa782bb5e17840d31a034de233f7500a6cb9
- 613068422c214b944c7b2e3fb60412ed99d35c9e18d53d45b16965c5a36f734a
- 9572312a12605c6a6ea6447af6fc063f4196aeba523ed38ce2c5ff51c33d4831
- 9ce32ce5e2b70fec7f749e7868d89a4e3e739fed9c75cd6c4ec6eafde4c3711a
- b72ac58d599e6e1080251b1ac45a521b33c08d7d129828a4e82a7095e9f93e53
- ceb93ee3093dbf1a49918ede81055018d9c0f0945a97f904a16951010cfbce61
- e21396bf5f9936310b4f53273db330a9620d78c1c744277b0e9126f0afdbc29d
