SideWinder Hacker Grubu, WarHawk Tool Kullanarak Devlet Ve Orduyu Hedef Aldı

Google News Abone Ol

SideWinder Hacker Grubu, WarHawk Tool Kullanarak Devlet Ve Orduyu Hedef Aldı

Zscaler ThreatLabz, SideWinder APT tehdit grubu tarafından Pakistan'daki varlıkları hedef almak için kullanılan 'WarHawk' adlı bir arka kapı (backdoor) buldu.

SideWinder grubu, Rattlesnake, Hardcore Nationalist, RAZOR TIGER, T-APT-04 ve APT-C-17 isimleriyle geçiyor ve Asya'da, özellikle Pakistan'da hükümet, ordu ve işletmeleri hedef alan bir geçmişe sahip.

Zscaler ThreatLabz, "Yeni keşfedilen WarHawk arka kapısı (backdoor), muzaffer bir kampanya sağlamak için KernelCallBackTable enjeksiyonu ve Pakistan Standart Saat dilimi kontrolü gibi yeni TTP'leri içeren Cobalt Strike sağlayan çeşitli kötü amaçlı modüller içeriyor" dedi.

WarHawk Arka Kapısının (Backdoor) Çalışması

Raporlar, 'WarHawk' arka kapısının aşağıdaki gibi dört modülden oluştuğunu söylüyor:

  • İndir ve Çalıştır (Download & Execute) Modülü
  • Komut Yürütme (Command Execution) Modülü
  • Dosya Yöneticisi InfoExfil (File Manager InfoExfil) Modülü
  • UploadFromC2 Modülü

Araştırmacılar, Pakistan Ulusal Elektrik Enerjisi Düzenleme Kurumu'nun meşru web sitesinde barındırılan ISO dosyasının "nepra[.]org[.]pk", web sunucularının tehlikeye atıldığını gösterebilir.

SideWinder Hacker Grubu, WarHawk Tool Kullanarak Devlet Ve Orduyu Hedef Aldı

Kendisini, masum mağdurları infaza çekmek için yasal bir uygulama olarak gizliyor. Ayrıca, WarHawk, Şifrelenmiş Onaltılık Baytları giriş olarak alan ve ardından dizenin şifresini çözmek için her baytı Anahtar: "0x42" ile çıkaran bir Dize Şifre Çözme Yordamı kullanarak bir dizi API ve DLL adının şifresini çözer.

SideWinder Hacker Grubu, WarHawk Tool Kullanarak Devlet Ve Orduyu Hedef Aldı

WarHawk Arka Kapısı (backdoor) yasal uygulamalar olarak gizlenir

İndirme ve yürütme modülü, CnC sunucusu tarafından sağlanan uzak URL'den ek yüklerin indirilmesinden ve yürütülmesinden sorumludur.

Komut yürütme modülü, Komuta ve Kontrol'den alınan virüslü makinedeki sistem komutlarının yürütülmesinden sorumludur. Daha sonra, Dosya Yöneticisi InfoExfil modülü toplanır ve öncelikle bir Modül başlatma isteği üzerinden CnC sunucusuna göndererek Dosya Yöneticisi bilgilerini gönderir.

UploadFromC2 modülünde, en son WarHawk Arka Kapısına eklenen ve tehdit aktörünün virüslü makineye Komut ve Kontrol Sunucusundan dosya yüklemesine izin veren yeni bir özelliktir.

SideWinder Hacker Grubu, WarHawk Tool Kullanarak Devlet Ve Orduyu Hedef Aldı

SideWinder Ağ Altyapısı

Araştırmacılar, kampanyanın Pakistan'ı hedef aldığını, Pakistan Ulusal Elektrik Enerjisi Düzenleme Kurumu web sitesinde barındırılan ISO dosyalarının, Pakistan Kabine Bölümü tarafından yayınlanan ve cazibe merkezi olarak kullanılan tehdit aktörlerinin ve kötü amaçlı yazılımın yalnızca Pakistan Standart Saati altında yürütülmesini sağlayan "Pakistan Standart Saati" için saat dilimi kontrolünün belirlenmesine yardımcı olan göstergelerin aşağıdakiler olduğunu söylüyor.

Rapor, "SideWinder APT Group, taktiklerini sürekli olarak geliştiriyor ve hedeflerine karşı başarılı casusluk saldırı kampanyaları yürütmek için cephaneliklerine yeni kötü amaçlı yazılımlar ekliyor" dedi.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.

Kaynak: Cyber Security News

Sonraki Gönderi Önceki Gönderi
Yorum yok
Yorum Ekle
comment url