SideWinder, một tác nhân quốc gia-nhà nước sung mãn chủ yếu được biết đến với việc nhắm mục tiêu vào các thực thể quân sự Pakistan, đã xâm phạm trang web chính thức của Cơ quan Quản lý Điện lực Quốc gia (NEPRA) để cung cấp một phần mềm độc hại phù hợp có tên WarHawk.
"Cửa hậu WarHawk mới được phát hiện chứa nhiều mô-đun độc hại khác nhau cung cấp Cobalt Strike, kết hợp các TTP mới như tiêm KernelCallBackTable và kiểm tra múi giờ chuẩn Pakistan để đảm bảo một chiến dịch chiến thắng," Zscaler ThreatLabz nói.
Nhóm đe dọa, còn được gọi là APT-C-17, Rattlesnake và Razor Tiger, bị nghi ngờ là một nhóm do nhà nước Ấn Độ tài trợ, mặc dù một báo cáo từ Kaspersky vào đầu tháng này đã thừa nhận các chỉ số trước đó dẫn đến việc quy kết đã biến mất, khiến nó thách thức liên kết cụm mối đe dọa với một quốc gia cụ thể.
Hơn 1.000 cuộc tấn công được cho là đã được nhóm này phát động kể từ tháng 4/2020, một dấu hiệu cho thấy sự gây hấn mới của SideWinder kể từ khi nó bắt đầu hoạt động cách đây một thập kỷ vào năm 2012.
Các cuộc xâm nhập có ý nghĩa không chỉ liên quan đến tần suất của chúng mà còn về sự bền bỉ của chúng, ngay cả khi nhóm tận dụng một kho vũ khí khổng lồ gồm các thành phần bị xáo trộn và mới phát triển.
Vào tháng 6 năm 2022 tác nhân đe dọa đã được tìm thấy tận dụng tập lệnh AntiBot được thiết kế để lọc nạn nhân của họ để kiểm tra môi trường trình duyệt của máy khách, cụ thể là địa chỉ IP, để đảm bảo các mục tiêu được đặt tại Pakistan.
Chiến dịch tháng 7 do Zscaler phát hiện đòi hỏi phải sử dụng tệp ISO được vũ khí hóa được lưu trữ trên trang web của NEPRA để kích hoạt chuỗi giết người dẫn đến việc triển khai phần mềm độc hại WarHawk, với hiện vật này cũng hoạt động như một mồi nhử để che giấu hoạt động độc hại bằng cách hiển thị một lời khuyên hợp pháp do Bộ phận Nội các Pakistan ban hành vào ngày 27 tháng 6 năm 2022.
Về phần mình, WarHawk giả mạo là các ứng dụng hợp pháp như ASUS Update Setup và Realtek HD Audio Manager để thu hút các nạn nhân không nghi ngờ thực thi, dẫn đến việc lọc siêu dữ liệu hệ thống vào một máy chủ từ xa được mã hóa cứng, đồng thời nhận được tải trọng bổ sung từ URL.
Điều này bao gồm một mô-đun thực thi lệnh chịu trách nhiệm thực thi các lệnh hệ thống trên máy bị nhiễm nhận được từ máy chủ lệnh và điều khiển, mô-đun quản lý tệp liệt kê đệ quy các tệp có trong các ổ đĩa khác nhau và mô-đun tải lên truyền các tệp quan tâm đến máy chủ.
Cũng được triển khai dưới dạng tải trọng giai đoạn thứ hai bằng cách sử dụng mô-đun thực thi lệnh nói trên là Cobalt Strike Loader, xác thực múi giờ của máy chủ để xác nhận nó khớp với Giờ chuẩn Pakistan (PKT), nếu không quá trình bị chấm dứt.
Nếu tất cả các kiểm tra chống phân tích vượt qua thành công, trình tải sẽ đưa shellcode vào quy trình .exe notepad bằng cách sử dụng một kỹ thuật được gọi là KernelCallbackTable process injection, với các tác giả phần mềm độc hại nâng mã nguồn từ một bài viết kỹ thuật được xuất bản vào tháng 4 năm 2022 bởi một nhà nghiên cứu có bí danh trực tuyến là Đại úy Meelo.
Shellcode sau đó giải mã và tải Beacon, payload phần mềm độc hại mặc định được Cobalt Strike sử dụng để thiết lập kết nối với máy chủ chỉ huy và điều khiển của nó.
Theo công ty an ninh mạng, các kết nối của chiến dịch tấn công với SideWinder APT bắt nguồn từ việc tái sử dụng cơ sở hạ tầng mạng đã được xác định là được nhóm này sử dụng trong các hoạt động tập trung vào gián điệp trước đây chống lại Pakistan.
"SideWinder APT Group đang liên tục phát triển chiến thuật của họ và thêm phần mềm độc hại mới vào kho vũ khí của họ để thực hiện các chiến dịch tấn công gián điệp thành công chống lại mục tiêu của họ," các nhà nghiên cứu kết luận.