Новая группировка проводит шпионские кампании против Пакистана

SideWinder WarHawk Zscaler ThreatLabz бэкдор Cobalt Strike TTPs KernelCallBackTable C&C-сервер ISO
Новая группировка проводит шпионские кампании против Пакистана
SideWinder WarHawk Zscaler ThreatLabz бэкдор Cobalt Strike TTPs KernelCallBackTable C&C-сервер ISO

Киберпреступники используют эффективные инструменты, чтобы проводить незаметные массовые кампании.

Группировка правительственных хакеров SideWinder (APT-C-17, Rattlesnake и Razor Tiger), известная своими кибератаками на пакистанские военные организации, скомпрометировала официальный сайт Национального органа по регулированию электроэнергетики (NEPRA), чтобы доставить специализированное вредоносное ПО WarHawk.

Согласно отчету исследователей Zscaler ThreatLabz, недавно обнаруженный бэкдор WarHawk содержит различные вредоносные модули, которые доставляют Cobalt Strike, включая новые TTPs – внедрение KernelCallBackTable и проверка стандартного часового пояса Пакистана, чтобы обеспечить эффективную целенаправленную кампанию.

Обнаруженная кампания использует зараженный ISO-файл, размещенный на веб-сайте NEPRA, который приводит к развертыванию вредоносного ПО WarHawk. При этом артефакт также действует как приманка, чтобы скрыть вредоносную активность, отображая рекомендацию, выданную Отделом кабинета министров Пакистана в июле 2022 года.


В свою очередь, вредоносное ПО WarHawk маскируется под легитимные приложения, такие как ASUS Update Setup и Realtek HD Audio Manager, и после запуска эксфильтрует системные метаданные на жестко закодированный удаленный сервер, а также доставляет полезную нагрузку.

Сюда входят:

  • модуль выполнения команд, который отвечает за выполнение команд, полученных от C&C-сервера, на зараженной машине;
  • модуль файлового менеджера, который рекурсивно перечисляет файлы, находящиеся на разных дисках;
  • модуль загрузки, который передает выбранные файлы на сервер.

В качестве полезной нагрузки второго этапа используется загрузчик Cobalt Strike, который проверяет часовой пояс хоста, чтобы подтвердить его соответствие стандартному времени Пакистана, в противном случае процесс завершается.

Если все проверки антианализа успешно пройдены, загрузчик внедряет шелл-код в процесс «notepad.exe» с помощью метода, называемого внедрением процесса «KernelCallbackTable», при этом операторы извлекают исходный код из технической статьи, опубликованной в апреле 2022 года исследователем C apt . Meelo.

Затем шелл-код расшифровывает и загружает Cobalt Strike Beacon для установления соединения с сервером управления и контроля (C&C).

По данным компании Zscaler, SideWinder повторно использует свою сетевую инфраструктуру, которая использовалась группой в предыдущих шпионских кампаниях против Пакистана.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!