محققان جدیدترین تکنیک چند شکلی مبتنی بر سرور SideWinder را کشف کردند.

 ۹ مه ۲۰۲۳  تهدید مداوم پیشرفته راوی لاکشمانان

بازیگر تهدید مداوم پیشرفته (APT) که به عنوان SideWinder شناخته می شود، متهم به استفاده از یک درب پشتی در حملاتی است که علیه سازمان های دولتی پاکستان به عنوان بخشی از کارزاری که در اواخر نوامبر ۲۰۲۲ آغاز شد، انجام شده است.

تیم تحقیقاتی و اطلاعاتی بلک بری در گزارشی فنی که روز دوشنبه منتشر شد، گفت: «در این کمپین، گروه تهدید پایدار پیشرفته SideWinder (APT) از تکنیک چندشکلی مبتنی بر سرور برای تحویل بار مرحله بعدی استفاده کرد.

کمپین دیگری که توسط شرکت امنیت سایبری کانادایی در اوایل مارس ۲۰۲۳ کشف شد، نشان می‌دهد که ترکیه نیز در تیررس اولویت‌های مجموعه این بازیگر تهدید قرار گرفته است.

SideWinder حداقل از سال ۲۰۱۲ در رادار بوده است و اساساً شناخته شده است که نهادهای مختلف آسیای جنوب شرقی واقع در پاکستان، افغانستان، بوتان، چین، میانمار، نپال و سریلانکا را هدف قرار می دهد.

SideWinder که گمان می رود یک گروه تحت حمایت دولت هند باشد، با نام های APT-C-17، APT-Q-39، هاردکور ناسیونالیست (HN2)، Rattlesnake، Razor Tiger و T-APT4 نیز ردیابی می شود.

توالی‌های حمله معمولی که توسط بازیگر نصب می‌شود مستلزم استفاده از فریب‌های ایمیل با دقت ساخته شده و تکنیک‌های بارگذاری جانبی DLL برای پرواز در زیر رادار و استقرار بدافزارهایی است که قادر به دسترسی از راه دور بازیگران به سیستم‌های مورد نظر هستند.

در طول سال گذشته، SideWinder با یک حمله سایبری به کالج جنگ نیروی دریایی پاکستان (PNWC) و همچنین یک کمپین بدافزار اندرویدی مرتبط بوده است که از پاک کننده‌های تلفن سرکش و برنامه‌های VPN آپلود شده در فروشگاه Google Play برای جمع‌آوری اطلاعات حساس استفاده می‌ کرد.

آخرین زنجیره عفونت مستند شده توسط بلک بری، یافته‌های شرکت امنیت سایبری چینی QiAnXin در دسامبر ۲۰۲۲ را نشان می‌دهد که جزئیات استفاده از اسناد فریبنده PNWC برای رها کردن یک درب پشتی سبک مبتنی بر NET (App.dll) را نشان می‌دهد که قادر به بازیابی و اجرای بدافزار مرحله بعدی از یک بدافزار است. سرور راه دور

چیزی که این کمپین را متمایز می کند، استفاده عامل تهدید از چندشکلی مبتنی بر سرور به عنوان راهی برای دور زدن بالقوه شناسایی آنتی ویروس مبتنی بر امضا (AV) و توزیع بارهای اضافی با پاسخ دادن با دو نسخه مختلف از یک فایل RTF میانی است.

به طور خاص، سند PNWC از روشی به نام تزریق الگو از راه دور برای واکشی فایل RTF استفاده می‌کند به طوری که تنها در صورتی که درخواست از کاربر در محدوده آدرس IP پاکستان باشد، کد مخرب را در خود جای می‌دهد.

BlackBerry توضیح داد: «توجه به این نکته مهم است که در هر دو مورد، فقط نام فایل «file.rtf» و نوع فایل یکسان است؛ با این حال، محتویات، اندازه فایل و هش فایل متفاوت است.

"اگر کاربر در محدوده IP پاکستان نباشد، سرور یک فایل RTF 8 بایتی (file.rtf) را برمی گرداند که حاوی یک رشته است: {\rtf1 }. اما اگر کاربر در محدوده IP پاکستان باشد، سرور سپس بار RTF را برمی گرداند که اندازه آن بین ۴۰۶ تا ۴۱۴ کیلوبایت متغیر است. "

این افشاگری اندکی پس از افشای جزئیات حملات Fortinet و Team Cymru توسط یک بازیگر تهدید کننده مستقر در پاکستان به نام SideCopy علیه اهداف دفاعی و نظامی هند منتشر شد.

بلک بری گفت: «آخرین کمپین SideWinder که ترکیه را هدف قرار می دهد، با جدیدترین تحولات ژئوپلیتیک، به ویژه در حمایت ترکیه از پاکستان و واکنش متعاقب آن از سوی هند همپوشانی دارد.