SideWinder APT 使用新的 WarHawk 后门攻击巴基斯坦的实体

SideWinder 是一个多产的民族国家行为者，主要以针对巴基斯坦军事实体而闻名，它入侵了国家电力监管局 (NEPRA) 的官方网站，以提供一种名为WarHawk的定制恶意软件。

Zscaler ThreatLabz说： “新发现的 WarHawk 后门包含各种提供 Cobalt Strike 的恶意模块，并结合了新的 TTP，例如KernelCallBackTable 注入和巴基斯坦标准时区检查，以确保活动取得胜利。 ”

该威胁组织，也称为 APT-C-17、响尾蛇和剃刀虎，被怀疑是印度政府支持的组织，尽管卡巴斯基今年 5 月初的一份报告承认，导致该归属的先前指标已经消失，使得它挑战它将威胁集群与特定国家联系起来。

据说自 2020 年 4 月以来，该组织发起了1,000 多次攻击，这表明 SideWinder 自十年前于 2012 年开始运营以来新发现的侵略行为。

这些入侵不仅在频率方面而且在持续性方面都很重要，即使该组织利用了大量经过混淆和新开发的组件。

2022 年 6 月，发现威胁参与者利用了一个旨在过滤受害者的 AntiBot 脚本来检查客户端浏览器环境，特别是 IP 地址，以确保目标位于巴基斯坦。

Zscaler 发现的 9 月活动需要使用 NEPRA 网站上托管的武器化 ISO 文件来激活导致部署 WarHawk 恶意软件的杀伤链，该工件还充当诱饵，通过显示合法咨询来隐藏恶意活动由巴基斯坦内阁司于 2022 年 7 月 27 日发布。

WarHawk 则伪装成 ASUS Update Setup 和 Realtek HD Audio Manager 等合法应用程序，以引诱毫无戒心的受害者执行，从而导致系统元数据泄露到硬编码的远程服务器，同时还从 URL 接收额外的有效负载。

这包括一个命令执行模块，负责在受感染机器上执行从命令和控制服务器接收的系统命令，一个递归枚举不同驱动器中存在的文件的文件管理器模块，以及一个传输感兴趣文件的上传模块到服务器。

使用上述命令执行模块作为第二阶段有效负载部署的是 Cobalt Strike Loader，它验证主机的时区以确认其与巴基斯坦标准时间 (PKT) 匹配，否则进程将终止。

如果所有反分析检查成功通过，加载程序将使用称为 KernelCallbackTable 进程注入的技术将 shellcode 注入到 notepad.exe 进程，恶意软件作者从2022 年 4 月发表的技术文章中提取源代码由在线别名 Capt. Meelo 提供。

然后，shellcode 解密并加载Beacon，这是 Cobalt Strike 用来建立与其命令和控制服务器的连接的默认恶意软件负载。

根据这家网络安全公司的说法，攻击活动与 SideWinder APT 的联系源于对网络基础设施的重用，该网络基础设施已被确定为该组织在先前针对巴基斯坦的间谍活动中使用的网络基础设施。

研究人员总结道：“SideWinder APT Group 正在不断改进他们的策略，并在他们的武器库中添加新的恶意软件，以便成功地针对他们的目标开展间谍攻击活动。”