Οι καμπάνιες phishing που αποδίδονται σε έναν προηγμένο απειλητικό παράγοντα που ονομάζεται SideWinder περιλάμβαναν ένα ψεύτικο VPN app για συσκευές Android που δημοσιεύτηκε στο Google Play Store μαζί με ένα προσαρμοσμένο εργαλείο που φιλτράρει τα θύματα για καλύτερη στόχευση.
Το SideWinder είναι μια ομάδα APT που δραστηριοποιείται τουλάχιστον από το 2012 και πιστεύεται ότι είναι ένας απειλητικός παράγοντας ινδικής καταγωγής με σχετικά υψηλό επίπεδο πολυπλοκότητας.
Δείτε επίσης: Επιθέσεις ransomware: Χρειάζονται 4 ημέρες για την κρυπτογράφηση των συστημάτων
Οι ερευνητές ασφαλείας της Kaspersky απέδωσαν σχεδόν 1.000 επιθέσεις σε αυτήν την ομάδα τα τελευταία δύο χρόνια. Μεταξύ των πρωταρχικών στόχων του είναι οργανισμοί στο Πακιστάν, την Κίνα, το Νεπάλ και το Αφγανιστάν.
Δείτε επίσης: Κατάχρηση της blogging πλατφόρμας του Telegram σε phishing επιθέσεις
Το adversary βασίζεται σε μια αρκετά μεγάλη υποδομή, η οποία περιλαμβάνει περισσότερες από 92 διευθύνσεις IP, κυρίως για επιθέσεις phishing, φιλοξενώντας πάρα πολλά domains και subdomains που χρησιμοποιούνται ως command and control servers.
Μια πρόσφατη εκστρατεία phishing που αποδόθηκε στην ομάδα SideWinder (γνωστή και ως RattleSnake, Razor Tiger, T-APT-04, APT-C-17, Hardcore Nationalist) στόχευσε οργανισμούς στο Πακιστάν τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα.
Ερευνητές στην εταιρεία κυβερνοασφάλειας Group-IB εντόπισαν νωρίτερα αυτό το έτος ένα έγγραφο phishing που παρασύρει τα θύματα με ένα έγγραφο που προτείνει «μια επίσημη συζήτηση για τον αντίκτυπο της αποχώρησης των ΗΠΑ από το Αφγανιστάν στη θαλάσσια ασφάλεια».
Σε μια αναφορά που κοινοποιήθηκε στο BleepingComputer, το Group-IB λέει ότι ο παράγοντας SideWinder έχει παρατηρηθεί στο παρελθόν να κλωνοποιούσε κυβερνητικό ιστότοπο για κλοπή user credentials.
Η πρόσφατη εκστρατεία phishing χρησιμοποίησε και αυτή τη μέθοδο εναντίον στόχων, καθώς ο χάκερ δημιούργησε πολλούς ιστότοπους που μιμούνταν νόμιμα domains της πακιστανικής κυβέρνησης:
- finance.pakgov[.]net
- vpn.pakgov[.]net
- csd.pakgov[.]net
- hajj.pakgov[.]net
- nadra.pakgov[.]net
- pt.pakgov[.]net
- flix.pakgov[.]net
- covid.pakgov[.]net
Κατά τη διάρκεια της έρευνας, οι ερευνητές ανακάλυψαν ένα phishing link που ανακατευθύνθηκε στο νόμιμο domain “securevpn.com”. Ο σκοπός του παραμένει ασαφής, αλλά θα μπορούσε να είναι η επιλογή στόχων ενδιαφέροντος και η ανακατεύθυνσή τους σε ένα κακόβουλο site.
Ένα άλλο link που ανακαλύφθηκε από το Group-IB και λήφθηκε από το Google Play, το επίσημο κατάστημα εφαρμογών Android, μια ψεύτικη έκδοση της εφαρμογής «Secure VPN», η οποία εξακολουθεί να υπάρχει στο Google Play τη στιγμή της σύνταξης του κειμένου.
Οι ερευνητές σημειώνουν ότι η περιγραφή που είναι διαθέσιμη για την ψεύτικη εφαρμογή Secure VPN του SideWinder έχει αντιγραφεί από τη νόμιμη εφαρμογή NordVPN.
Κατά τον χρόνο εκτέλεσης, η ψεύτικη εφαρμογή Secure VPN υποβάλλει μερικά αιτήματα σε δύο domains που πιθανότατα ανήκουν στον εισβολέα, αλλά δεν ήταν διαθέσιμοι κατά τη διάρκεια της έρευνας και ένα αίτημα στο root directory ανακατευθύνεται στο νόμιμο NordVPN domain.
Δυστυχώς, οι ερευνητές δεν μπόρεσαν να επιβεβαιώσουν τον σκοπό της ψεύτικης εφαρμογής VPN ή αν είναι κακόβουλη ή όχι. Ωστόσο, το SideWinder έχει χρησιμοποιήσει ψεύτικες εφαρμογές στο Google Play στο παρελθόν, όπως έδειξε παλαιότερη έρευνα της Trend Micro.
Η λίστα των ενεργειών που μπορούσαν να πραγματοποιήσουν οι προηγούμενες ψεύτικες εφαρμογές από το SideWinder περιλαμβάνει τη συλλογή και την αποστολή στον command and control server πληροφοριών όπως:
- Τοποθεσία
- Κατάσταση μπαταρίας
- Αρχεία στη συσκευή
- Λίστα εγκατεστημένων εφαρμογών
- Πληροφορίες συσκευής
- Πληροφορίες αισθητήρα
- Πληροφορίες κάμερας
- Screenshot
- Λογαριασμός
- Πληροφορίες Wi-Fi
- Δεδομένα WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail και Chrome
Οι εφαρμογές τους είναι σε θέση να συλλέγουν έναν αριθμό παραμέτρων στα στοχευμένα hosts και να στέλνουν τις πληροφορίες πίσω στο C2 τους.
Το Group-IB διαπίστωσε ότι ο αντίπαλος χρησιμοποίησε ένα προσαρμοσμένο εργαλείο που προστέθηκε πρόσφατα στο οπλοστάσιό του, το οποίο παρακολουθείται εσωτερικά από το Group-IB ως SideWinder.AntiBot.Script.
Εάν το script εντοπίσει έναν επισκέπτη από μια IP στο Πακιστάν, ανακατευθύνεται σε ένα κακόβουλο location. Οι ακόλουθες παράμετροι ελέγχονται για να καθοριστεί εάν ένας επισκέπτης είναι πιθανός στόχος ή όχι:
- Γεωγραφική θέση
- Έκδοση του λειτουργικού συστήματος
- Δεδομένα σχετικά με τον user agent
- Ρυθμίσεις γλώσσας συστήματος
Μπορεί επίσης να καθορίσει τον αριθμό των λογικών επεξεργαστών στο σύστημα και το video card που χρησιμοποιείται από το host, καθώς και να αποκτήσει πρόσβαση στο credentials container στο web browser, το οποίο μπορεί να επιστρέψει αποθηκευμένους κωδικούς πρόσβασης.
Ο έλεγχος της video card είναι πιθανό να καθορίσει εάν ο host χρησιμοποιείται για σκοπούς ανάλυσης κακόβουλου λογισμικού, καθώς συγκρίνεται με το μέγεθος της οθόνης της συσκευής.
Μια άλλη συνάρτηση στο script, η πιο σημαντική, χρησιμοποιείται για την εξυπηρέτηση ενός κακόβουλου αρχείου και για την ανακατεύθυνση ενός non-interest στόχου σε έναν νόμιμο πόρο.
Με βάση τα ευρήματά του, το Group-IB εκτιμά ότι η υποδομή του SideWinder είναι ευρέως διαδεδομένη για την ανάπτυξη νέων command and control servers για την υποστήριξη της δραστηριότητας phishing.
Πηγή πληροφοριών: bleepingcomputer.com
