Des chercheurs en cybersécurité ont mis au jour une infrastructure d’attaque auparavant non documentée utilisée par le prolifique groupe parrainé par l’État SideWinder frapper des entités situées au Pakistan et en Chine.
Cela comprend un réseau de 55 domaines et adresses IP utilisés par l’acteur de la menace, ont déclaré les sociétés de cybersécurité Group-IB et Bridewell dans un rapport conjoint partagé avec The Hacker News.
« Les domaines de phishing identifiés imitent diverses organisations des secteurs de l’information, du gouvernement, des télécommunications et de la finance », ont déclaré les chercheurs Nikita Rostovtsev, Joshua Penny et Yashraj Solanki. a dit.
SideWinder est connu pour être actif depuis au moins 2012, avec des chaînes d’attaque tirant principalement parti du harponnage comme mécanisme d’intrusion pour prendre pied dans des environnements ciblés.
On pense généralement que la gamme cible du groupe est associée aux intérêts de l’espionnage indien. Les nations les plus fréquemment attaquées sont le Pakistan, la Chine, le Sri Lanka, l’Afghanistan, le Bangladesh, le Myanmar, les Philippines, le Qatar et Singapour.
Plus tôt en février, Group-IB a mis en lumière des preuves que SideWinder aurait pu cibler 61 organisations gouvernementales, militaires, policières et autres à travers l’Asie entre juin et novembre 2021.
Plus récemment, le groupe d’États-nations a été observé en train d’exploiter une technique connue sous le nom de polymorphisme basé sur le serveur dans des attaques évasives ciblant des organisations gouvernementales pakistanaises.
Les domaines nouvellement découverts imitent les organisations gouvernementales au Pakistan, en Chine et en Inde et se caractérisent par l’utilisation des mêmes valeurs dans les enregistrements WHOIS et des informations d’enregistrement similaires.
Hébergés sur certains de ces domaines se trouvent des documents de leurre sur le thème du gouvernement qui sont conçus pour télécharger une charge utile inconnue de la prochaine étape.
La majorité de ces documents ont été téléchargés sur VirusTotal en mars 2023 depuis le Pakistan. L’un d’entre eux est un fichier Microsoft Word prétendument du Pakistan Navy War College (PNWC), qui a été analysé par QiAnXin et BlackBerry ces derniers mois.
Un fichier de raccourci Windows (LNK) a également été téléchargé sur VirusTotal depuis Pékin fin novembre 2022. Le fichier LNK, pour sa part, est conçu pour exécuter un fichier d’application HTML (HTA) récupéré à partir d’un serveur distant qui usurpe l’Université de Tsinghua. système de messagerie (mailtsinghua.sinacn[.]co).
Un autre fichier LNK qui a été téléchargé sur VirusTotal à peu près au même moment depuis Katmandou utilise une méthode similaire pour récupérer un fichier HTA à partir d’un domaine se faisant passer pour un site Web du gouvernement népalais (mailv.mofs-gov[.]org).
Une enquête plus approfondie sur l’infrastructure de SideWinder a conduit à la découverte d’un fichier APK Android malveillant (226617) qui a été téléchargé sur VirusTotal depuis le Sri Lanka en mars 2023.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
L’application Android malveillante se fait passer pour un « jeu Ludo » et invite les utilisateurs à lui accorder l’accès aux contacts, à l’emplacement, aux journaux téléphoniques, aux messages SMS et au calendrier, fonctionnant efficacement comme un logiciel espion capable de récolter des informations sensibles.
Group-IB a déclaré que l’application présente également des similitudes avec la fausse application Secure VPN que la société a divulguée en juin 2022 comme étant distribuée à des cibles au Pakistan au moyen d’un système de direction du trafic (TDS) appelé AntiBot.
Dans l’ensemble, les domaines indiquent que SideWinder vise les organisations financières, gouvernementales et d’application de la loi, ainsi que les entreprises spécialisées dans le commerce électronique et les médias de masse au Pakistan et en Chine.
« Comme de nombreux autres groupes APT, SideWinder s’appuie sur le harponnage ciblé comme vecteur initial », ont déclaré les chercheurs. « Il est donc important pour les organisations de déployer des solutions de protection des e-mails professionnels qui font exploser les contenus malveillants. »
