SideWinder olarak bilinen “agresif” gelişmiş kalıcı tehdit (Advanced Persistent Threat, APT) grubu, Nisan 2020’den bu yana 1.000’den fazla yeni saldırıyla ilişkilendirildi.
Siber güvenlik firması Kaspersky’nin bu ay Black Hat Asia’da sunduğu bir rapora göre, “Bu tehdit aktörünün diğerleri arasında öne çıkaran temel özelliklerinden bazıları, saldırılarının tam sayısı, yüksek sıklığı, kalıcılığı ve operasyonlarında kullanılan şifreli ve gizlenmiş kötü amaçlı bileşenler koleksiyonudur.”
Rattlesnake veya T-APT-04 olarak da adlandırılan SideWinder’ın, Afganistan, Bangladeş, Nepal ve Pakistan gibi Orta Asya ülkelerindeki askeri, savunma, havacılık, bilişim şirketleri ve hukuk firmalarını hedef alma geçmişiyle en az 2012’den beri aktif olduğu söyleniyor.
Kaspersky’nin geçen ayın sonlarında yayınlanan 2022’nin ilk çeyreğine ilişkin APT eğilimleri raporu, tehdit aktörünün hedeflerinin coğrafyasını geleneksel kurban profilinin ötesinde Singapur dahil diğer ülke ve bölgelere aktif olarak genişlettiğini ortaya koydu.
SideWinder’ın kötü amaçlı yazılımları dağıtmak ve hassas bilgileri çalmak için kimlik avı kampanyalarında bir cazibe olarak devam eden Rus-Ukrayna savaşından yararlandığı da gözlemlendi.
Saldırgan topluluğun bulaşma zincirleri, güvenliği ihlal edilmiş sistemlerde kötü amaçlı yükleri dağıtmak için Microsoft Office’in Equation Editor bileşenindeki (CVE-2017-11882) bir uzaktan kod güvenlik açığından yararlanan kötü amaçlı yazılımlarla donatılmış belgeleri bir araya getirmesiyle dikkat çekiyor.
Ayrıca SideWinder’ın araç seti, çeşitli karmaşık gizleme rutinleri, her kötü amaçlı dosya için benzersiz şifreleme, çok katmanlı kötü amaçlı yazılım ve komut ve kontrol (C2) altyapı dizelerini farklı kötü amaçlı yazılım bileşenlerine ayırma kullanır.
Üç aşamalı bulaşma dizisi, sahte belgelerin bir HTML Uygulaması (HTA) yükünü bırakmasıyla başlar ve ardından .NET tabanlı bir yükleyiciyi dağıtmak üzere tasarlanmış ikinci aşama bir HTA bileşenini yüklemek için .NET tabanlı bir modül yüklenir.
Bu yükleyici, bir sonraki aşamada hem ana bilgisayarda kalıcılık sağlamaktan hem de son arka kapıyı belleğe yüklemekten sorumludur. İmplant, diğerlerinin arasında, ilgili dosyaların yanı sıra sistem bilgilerini de toplama yeteneğine sahiptir.
Son iki yılda tehdit aktörü tarafından en az 400 domain ve subdomain kullanıldı. Ek bir gizlilik katmanı eklemek için, C2 domainleri için kullanılan URL’ler, ilk kısmı .NET yükleyicisine dahil edilen ve ikinci yarısı ikinci aşama HTA modülü içinde şifrelenen iki parçaya bölünür.
Kaspersky’den Noushin Shabab, “Bu tehdit aktörü, çeşitli enfeksiyon vektörleri ve gelişmiş saldırı teknikleri kullanarak nispeten yüksek bir gelişmişlik düzeyine sahip” diyerek, kuruluşların bu tür saldırıları azaltmak için Microsoft Office’in güncel sürümlerini kullanmasını söyledi.
Kaynak: https://thehackernews.com/2022/05/sidewinder-hackers-launched-over-1000.html
