SideWinder, un acteur étatique prolifique principalement connu pour cibler des entités militaires pakistanaises, a piraté le site Web officiel de l’Autorité nationale de réglementation de l’énergie électrique (NEPRA) pour diffuser un logiciel malveillant sur mesure appelé Faucon de guerre.
« La porte dérobée WarHawk récemment découverte contient divers modules malveillants qui fournissent Cobalt Strike, incorporant de nouveaux TTP tels que Injection KernelCallBackTable et la vérification du fuseau horaire standard du Pakistan afin d’assurer une campagne victorieuse », Zscaler ThreatLabz a dit.
Le groupe de menaces, également appelé APT-C-17, Rattlesnake et Razor Tiger, est soupçonné être un groupe parrainé par l’État indien, bien qu’un rapport de Kaspersky plus tôt en mai reconnaisse que les indicateurs précédents qui ont conduit à l’attribution ont depuis disparu, ce qui rend difficile de lier le groupe de menaces à une nation spécifique.
Plus de 1 000 attaques auraient été lancées par le groupe depuis avril 2020, une indication de la nouvelle agression de SideWinder depuis le début de ses opérations il y a dix ans en 2012.
Les intrusions ont été importantes non seulement en ce qui concerne leur fréquence mais aussi dans leur persistance, alors même que le groupe profite d’un arsenal massif de composants obscurcis et nouvellement développés.
En juin 2022, l’auteur de la menace a été découvert en train d’utiliser un script AntiBot conçu pour filtrer ses victimes afin de vérifier l’environnement du navigateur client, en particulier l’adresse IP, afin de s’assurer que les cibles sont situées au Pakistan.
La campagne de septembre repérée par Zscaler implique l’utilisation d’un fichier ISO militarisé hébergé sur le site Web de NEPRA pour activer une chaîne de destruction qui conduit au déploiement du logiciel malveillant WarHawk, l’artefact agissant également comme un leurre pour masquer l’activité malveillante en afficher un avis légitime émis par la Division du Cabinet du Pakistan le 27 juillet 2022.
WarHawk, pour sa part, se fait passer pour des applications légitimes telles que ASUS Update Setup et Realtek HD Audio Manager pour attirer les victimes sans méfiance dans l’exécution, entraînant l’exfiltration des métadonnées du système vers un serveur distant codé en dur, tout en recevant des charges utiles supplémentaires de l’URL.
Cela inclut un module d’exécution de commandes qui est responsable de l’exécution des commandes système sur la machine infectée reçues du serveur de commande et de contrôle, un module de gestionnaire de fichiers qui énumère de manière récursive les fichiers présents sur différents lecteurs et un module de téléchargement qui transmet les fichiers d’intérêt. au serveur.
Un chargeur Cobalt Strike est également déployé en tant que charge utile de deuxième étape à l’aide du module d’exécution de commande susmentionné, qui valide le fuseau horaire de l’hôte pour confirmer qu’il correspond à l’heure normale du Pakistan (PKT), faute de quoi le processus est terminé.
Suite à l’anti-anThe loader injecte du shellcode dans un processus notepad.exe en utilisant une technique appelée injection de processus KernelCallbackTable, l’auteur du logiciel malveillant récupérant le code source d’un rédaction technique publié en avril 2022 par un chercheur sous le pseudonyme en ligne Capt. Meelo.
Le shellcode décrypte et charge ensuite Beacon, la charge utile de malware par défaut utilisée par Cobalt Strike pour établir une connexion à son serveur de commande et de contrôle.
Selon la société de cybersécurité, les liens de la campagne d’attaque avec l’APT SideWinder proviennent de la réutilisation de l’infrastructure réseau qui a été identifiée comme utilisée par le groupe dans des activités antérieures axées sur l’espionnage contre le Pakistan.
« Le groupe SideWinder APT fait évoluer en permanence ses tactiques et ajoute de nouveaux logiciels malveillants à son arsenal afin de mener à bien des campagnes d’attaques d’espionnage contre ses cibles », ont conclu les chercheurs.