Deaps

Member
1653998930154.png

Агрессивная" группа передовых постоянных угроз (APT), известная как SideWinder, была связана с более чем 1 000 новых атак с апреля 2020 года.

"Некоторые из основных характеристик этого агента угроз, которые выделяют его среди других, - это огромное количество, высокая частота и стойкость атак, а также большая коллекция зашифрованных и обфусцированных вредоносных компонентов, используемых в их операциях", - говорится в отчете компании по кибербезопасности Kaspersky, представленном в этом месяце на выставке Black Hat Asia.

SideWinder, также называемый Rattlesnake или T-APT-04, действует, по меньшей мере, с 2012 года, а его целью являются военные, оборонные, авиационные, ИТ-компании и юридические фирмы в странах Центральной Азии, таких как Афганистан, Бангладеш, Непал и Пакистан.

Отчет "Касперского" о тенденциях APT за 1 квартал 2022 года, опубликованный в конце прошлого месяца, показал, что угрожающий агент активно расширяет географию своих целей за пределы профиля жертв, включая другие страны и регионы, в том числе Сингапур.

SideWinder также был замечен в использовании продолжающейся российско-украинской войны в качестве приманки в своих фишинговых кампаниях для распространения вредоносного ПО и кражи конфиденциальной информации.

Цепочки заражения, созданные этой вражеской группой, отличаются тем, что включают в себя подделанные документы, использующие уязвимость удаленного кода в компоненте редактора уравнений Microsoft Office (CVE-2017-11882) для развертывания вредоносной полезной нагрузки на зараженных системах.


1653998917713.png

Кроме того, в инструментарии SideWinder используется несколько сложных процедур обфускации, шифрование с использованием уникальных ключей для каждого вредоносного файла, многоуровневое вредоносное ПО и разделение строк командно-контрольной (C2) инфраструктуры на различные компоненты вредоносного ПО.

Трехэтапная последовательность заражения начинается с того, что мошеннические документы сбрасывают полезную нагрузку HTML Application (HTA), которая впоследствии загружает модуль на базе .NET для установки компонента HTA второго этапа, предназначенного для развертывания программы установки на базе .NET.

Эта программа установки на следующем этапе отвечает за создание постоянства на хосте и загрузку окончательного бэкдора в память. Имплант, со своей стороны, способен собирать интересующие его файлы, а также системную информацию, среди прочего.

Не менее 400 доменов и поддоменов было использовано угрозой за последние два года. Чтобы придать дополнительный уровень скрытности, URL-адреса, используемые для C2-доменов, разбиваются на две части, первая из которых включается в программу установки .NET, а вторая половина шифруется в HTA-модуле второго этапа.

"Этот агент угроз имеет относительно высокий уровень сложности, используя различные векторы заражения и передовые методы атак", - сказал Нушин Шабаб из Kaspersky, призвав организации использовать обновленные версии Microsoft Office для смягчения последствий таких атак.
 
Сверху