Группировка SideWinder искусно маскируется под правительственные учреждения Пакистана и Китая в своих последних атаках

Группировка SideWinder искусно маскируется под правительственные учреждения Пакистана и Китая в своих последних атаках

55 фальшивых веб-сайтов воссозданы с высокой точностью — хакеры настроены решительно.

image

Согласно совместному отчёту компаний Group-IB и Bridewell, хакерское объединение SideWinder, предположительно поддерживаемое правительством Индии использует новую атакующую инфраструктуру для нанесения точечных киберударов по объектам в Пакистане и Китае.

По данным исследователей, хакеры зарегистрировали 55 доменов, имитирующих различные организации в сферах новостей, правительства, телекоммуникаций и финансов.

«Идентифицированные фишинговые домены подражают различным организациям в секторах новостей, правительства, телекоммуникаций и финансов», — заявили исследователи.

Группа SideWinder известна своей активностью с 2012 года. Она преимущественно использует специализированные фишинговые письма для проникновения в целевые сети. Считается, что диапазон целей группы связан с интересами индийской разведки, а самыми часто атакуемыми странами являются Пакистан, Китай, Шри-Ланка, Афганистан, Бангладеш, Мьянма, Филиппины, Катар и Сингапур.

В феврале 2023 года Group-IB представила доказательства того, что SideWinder могла атаковать 61 правительственную, военную, правоохранительную и другие организации по всей Азии во второй половине 2022 года. А совсем недавно группа была замечена в использовании техники под названием «Server-Based Polymorphism» в скрытных атаках на пакистанские правительственные организации.

Вышеупомянутые домены, созданные злоумышленниками, имитируют правительственные организации в Пакистане, Китае и Индии. На многих из них были размещены «документы-ловушки» на тему правительства. Они предназначены для скачивания на целевое устройство полезной нагрузки следующего этапа.

В ходе расследования специалисты выявили множество вредоносных файлов, участвующих в заражении. Среди них документы Microsoft Word, якобы от Пакистанского военно-морского колледжа; вредоносные ярлыки Windows («.lnk»), запускающие зловредные HTML-приложения; а также поддельные мобильные приложения для Android.

В целом, фишинговые домены, используемые в данной вредоносной кампании, указывают на то, что SideWinder нацелена на средства массовой информации, финансовые, правительственные и правоохранительные организации, а также специализирующиеся на электронной коммерции компании в Пакистане и Китае.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь