SideWinder Hacker Grubu, WarHawk Tool Kullanarak Devlet Ve Orduyu Hedef Aldı
Zscaler ThreatLabz, SideWinder APT tehdit grubu tarafından Pakistan'daki varlıkları hedef almak için kullanılan 'WarHawk' adlı bir arka kapı (backdoor) buldu.
SideWinder grubu, Rattlesnake, Hardcore Nationalist, RAZOR TIGER, T-APT-04 ve APT-C-17 isimleriyle geçiyor ve Asya'da, özellikle Pakistan'da hükümet, ordu ve işletmeleri hedef alan bir geçmişe sahip.
Zscaler ThreatLabz, "Yeni keşfedilen WarHawk arka kapısı (backdoor), muzaffer bir kampanya sağlamak için KernelCallBackTable enjeksiyonu ve Pakistan Standart Saat dilimi kontrolü gibi yeni TTP'leri içeren Cobalt Strike sağlayan çeşitli kötü amaçlı modüller içeriyor" dedi.
WarHawk Arka Kapısının (Backdoor) Çalışması
Raporlar, 'WarHawk' arka kapısının aşağıdaki gibi dört modülden oluştuğunu söylüyor:
- İndir ve Çalıştır (Download & Execute) Modülü
- Komut Yürütme (Command Execution) Modülü
- Dosya Yöneticisi InfoExfil (File Manager InfoExfil) Modülü
- UploadFromC2 Modülü
Araştırmacılar, Pakistan Ulusal Elektrik Enerjisi Düzenleme Kurumu'nun meşru web sitesinde barındırılan ISO dosyasının "nepra[.]org[.]pk", web sunucularının tehlikeye atıldığını gösterebilir.
Kendisini, masum mağdurları infaza çekmek için yasal bir uygulama olarak gizliyor. Ayrıca, WarHawk, Şifrelenmiş Onaltılık Baytları giriş olarak alan ve ardından dizenin şifresini çözmek için her baytı Anahtar: "0x42" ile çıkaran bir Dize Şifre Çözme Yordamı kullanarak bir dizi API ve DLL adının şifresini çözer.
WarHawk Arka Kapısı (backdoor) yasal uygulamalar olarak gizlenir
İndirme ve yürütme modülü, CnC sunucusu tarafından sağlanan uzak URL'den ek yüklerin indirilmesinden ve yürütülmesinden sorumludur.
Komut yürütme modülü, Komuta ve Kontrol'den alınan virüslü makinedeki sistem komutlarının yürütülmesinden sorumludur. Daha sonra, Dosya Yöneticisi InfoExfil modülü toplanır ve öncelikle bir Modül başlatma isteği üzerinden CnC sunucusuna göndererek Dosya Yöneticisi bilgilerini gönderir.
UploadFromC2 modülünde, en son WarHawk Arka Kapısına eklenen ve tehdit aktörünün virüslü makineye Komut ve Kontrol Sunucusundan dosya yüklemesine izin veren yeni bir özelliktir.
SideWinder Ağ Altyapısı
Araştırmacılar, kampanyanın Pakistan'ı hedef aldığını, Pakistan Ulusal Elektrik Enerjisi Düzenleme Kurumu web sitesinde barındırılan ISO dosyalarının, Pakistan Kabine Bölümü tarafından yayınlanan ve cazibe merkezi olarak kullanılan tehdit aktörlerinin ve kötü amaçlı yazılımın yalnızca Pakistan Standart Saati altında yürütülmesini sağlayan "Pakistan Standart Saati" için saat dilimi kontrolünün belirlenmesine yardımcı olan göstergelerin aşağıdakiler olduğunu söylüyor.
Rapor, "SideWinder APT Group, taktiklerini sürekli olarak geliştiriyor ve hedeflerine karşı başarılı casusluk saldırı kampanyaları yürütmek için cephaneliklerine yeni kötü amaçlı yazılımlar ekliyor" dedi.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News