SideWinder անվանումով հանդես եկող (APT) հաքերը մեղադրվում է Պակիստանի կառավարական կազմակերպությունների դեմ ուղղված հարձակումներում:
2023 թվականի մարտի սկզբին կանադական կիբերանվտանգության ընկերության կողմից հայտնաբերված բացահայտումը պարզաբանում է, որ Թուրքիան նույնպես հայտնվել է հաքերների հարձակման թիրախում:
SideWinder-ը հայտնվեց ուշադրության կենտրոնում այն պահից ի վեր, երբ թիրախավորեց Հարավարևելյան Ասիայի տարբեր կազմակերպություններ, որոնք տեղակայված էին՝ Պակիստանում, Աֆղանստանում, Բութանում, Չինաստանում, Նեպալում և Շրի Լանկայում:
Հաքերի կողմից իրականացված տիպիկ հարձակումները ենթադրում են զգուշորեն մշակված տեխնիկա՝ էլ. փոստի անվնաս գայթակղություն և DLL side-loading տեխնիկայի կիրառում, որը malware-ների տեղակայման մտադրություն ունի և remote access է ապահովում հաքերի համար:
Միայն անցյալ տարվա ընթացքում SideWinder-ը առնչվել է երկու կիբեր հարձակման հետ՝ ուղղված Պակիստանի Navy War College-ի (PNWC) հետ: Ինչպես նաև թիրախավորվել են Android համակարգերը՝ օգտագործելով VPN հավելվածներ, որոնք վերբեռնվել են Google Play Store-ը՝ կոնֆիդենցիալ տեղեկություններ հավաքելու համար:
PNWC փաստաթուղթը կիրառում է հատուկ մշակված մեթոդ՝ RTF ֆայլը ներբեռնելու համար: Մշակված կոդը գործարկվում է այն ժամանակ, երբ հարցումը կատարվում է Պակիստանի IP հասցեների տիրույթում գտնվող օգտատիրոջից:
«Եթե օգտատերը գտնվում է Պակիստանի IP տիրույթում, ապա սերվերը վերադարձնում է 8 բայթանոց RTF ֆայլ (file.rtf), որը պարունակում է մեկ տող՝ {\rtf1 }:
Այնուհետև սերվերը վերադարձնում է RTF-ի payload, որը տատանվում է 406 ԿԲ – 414 ԿԲ սանդղակում։
Աղբյուրը՝ https://thehackernews.com/
