Новая группировка проводит шпионские кампании против Пакистана

Пн 24 Октябрь 2022 15:23

Согласно отчету исследователей Zscaler ThreatLabz, недавно обнаруженный бэкдор WarHawk содержит различные вредоносные модули, которые доставляют Cobalt Strike, включая новые TTPs – внедрение KernelCallBackTable и проверка стандартного часового пояса Пакистана, чтобы обеспечить эффективную целенаправленную кампанию.

Обнаруженная кампания использует зараженный ISO-файл, размещенный на веб-сайте NEPRA, который приводит к развертыванию вредоносного ПО WarHawk. При этом артефакт также действует как приманка, чтобы скрыть вредоносную активность, отображая рекомендацию, выданную Отделом кабинета министров Пакистана в июле 2022 года.

В свою очередь, вредоносное ПО WarHawk маскируется под легитимные приложения, такие как ASUS Update Setup и Realtek HD Audio Manager, и после запуска эксфильтрует системные метаданные на жестко закодированный удаленный сервер, а также доставляет полезную нагрузку.

Сюда входят:

В качестве полезной нагрузки второго этапа используется загрузчик Cobalt Strike, который проверяет часовой пояс хоста, чтобы подтвердить его соответствие стандартному времени Пакистана, в противном случае процесс завершается.

Если все проверки антианализа успешно пройдены, загрузчик внедряет шелл-код в процесс «notepad.exe» с помощью метода, называемого внедрением процесса «KernelCallbackTable», при этом операторы извлекают исходный код из технической статьи, опубликованной в апреле 2022 года исследователем Capt. Meelo.

Затем шелл-код расшифровывает и загружает Cobalt Strike Beacon для установления соединения с сервером управления и контроля (C&C).

По данным компании Zscaler, SideWinder повторно использует свою сетевую инфраструктуру, которая использовалась группой в предыдущих шпионских кампаниях против Пакистана.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 254 дня 13 часов 48 минут 14 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.