SideWinder adlı gelişmiş bir tehdit oyuncusuna atfedilen kimlik avı kampanyaları, Google Play Store'da yayınlanan Android cihazlar için sahte bir VPN uygulaması ve kurbanları daha iyi hedefleme için filtreleyen özel bir araç içeriyordu.
Sidewinder, en azından 2012'den beri aktif olan ve nispeten yüksek düzeyde sofistike olan Hint kökenli bir aktör olduğuna inanılan uygun bir gruptur.
Kaspersky'deki güvenlik araştırmacıları, son iki yılda bu gruba 1.000'e yakın saldırı atfetti. Birincil hedefleri arasında Pakistan, Çin, Nepal ve Afganistan'daki kuruluşlar var.
Düşman, özellikle kimlik avı saldırıları için, komut ve kontrol sunucuları olarak kullanılan yüzlerce alan ve alt alana ev sahipliği yapan 92'den fazla IP adresi içeren oldukça büyük bir altyapıya dayanmaktadır.
Yakın tarihli bir kimlik avı kampanyası SideWinder (diğer adıyla Rattlesnake, Razor Tiger, T-ATT-04, APT-C-17, Hardcore Milliyetçi) Pakistan'daki hem kamu hem de özel sektörde hedeflenen kuruluşlara atfedildi.
Bu yılın başlarında siber güvenlik şirketi Grubu-IB'deki araştırmacılar, kurbanları cezalandıran bir kimlik avı belgesini tespit ettiler, “ABD'den Afganistan'dan deniz güvenliği üzerindeki etkisinin resmi bir tartışması” önerdi.
BleepingComputer ile paylaşılan bir raporda Group-IB, SideWinder'ın geçmiş klonlama hükümet web sitesinde (örneğin Sri Lanka'daki hükümet portalı) kullanıcı kimlik bilgilerini çalmak için gözlemlendiğini söylüyor.
Son kimlik avı kampanyası, aktör Pakistan hükümetinin meşru alanlarını taklit eden birden fazla web sitesi kurduğu için bu yöntemi hedeflere karşı kullandı:
Soruşturma sırasında araştırmacılar, meşru "SecureVPN.com" a yönlendiren bir kimlik avı bağlantısı keşfettiler. Amacı belirsizliğini koruyor, ancak ilgi hedeflerini seçmek ve onları kötü amaçlı bir siteye yönlendirmek olabilir.
Grup-IB tarafından keşfedilen başka bir bağlantı Google Play'den indirildi, resmi Android App Store'dan, "Güvenli VPN" uygulamasının sahte bir sürümü, yazma sırasında hala Google Play'de mevcut ve 10'dan fazla indirme.
Araştırmacılar, SideWinder’ın sahte güvenli VPN uygulaması için mevcut açıklamanın meşru NordVPN uygulamasından kopyalandığını belirtiyor.
Çalışma zamanında, sahte Güvenli VPN uygulaması, muhtemelen saldırganın sahip olduğu iki alana birkaç istekte bulunur, ancak bunlar soruşturma sırasında kullanılamamıştır ve meşru NordVPN alanına yönlendirilen kök dizine bir istek.
Ne yazık ki, araştırmacılar sahte VPN uygulamasının amacını veya kötü niyetli olup olmadığını teyit edemediler. Bununla birlikte, SideWinder, Trend Micro'nun geçmiş araştırmalarında gösterildiği gibi, geçmişte Google Play'de sahte uygulamalar kullanmıştır.
SideWinder'dan önceki sahte uygulamaların listesi, komut ve kontrol sunucusu bilgilerini toplamayı ve göndermeyi içerebilir:
Uygulamaları, hedeflenen ana bilgisayarlarda bir dizi parametre toplayabilir ve bilgileri C2'ye geri gönderebilir. Bu parametreler şunları içerir: konum, pil durumu, cihazdaki dosyalar, yüklü uygulama listesi, cihaz bilgileri, sensör bilgileri, kamera bilgileri, ekran görüntüsü, hesap, wifi bilgileri, Wechat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail ve Chrome verileri .
Grup-IB ayrıca, düşmanın yakın zamanda Arsenal'e eklenen özel bir araç kullandığını, Group-IB tarafından SideWinder.antibot.script olarak izlediğini buldu.
“Komut dosyası, istemci tarayıcı ortamını kontrol eder ve çeşitli parametrelere dayanarak, kötü amaçlı bir dosya yayınlamaya veya meşru bir kaynağa yönlendirmeye karar verir” - Grup -Ib
Komut dosyası Pakistan'daki bir IP'den bir ziyaretçiyi algılarsa, kötü amaçlı bir konuma yönlendirilir. Bir ziyaretçinin potansiyel bir hedef olup olmadığını belirlemek için aşağıdaki parametreler kontrol edilir:
Ayrıca, sistemdeki mantıksal işlemcilerin sayısını ve ana bilgisayar tarafından kullanılan ekran kartını belirleyebilir ve web tarayıcısında kaydedilen parolaları döndürebilen kimlik bilgileri kapsayıcısına erişebilir.
Ekran kartının kontrol edilmesi, ana bilgisayarın cihazın ekran boyutuna kıyasla kötü amaçlı yazılım analiz amaçları için kullanılıp kullanılmadığını belirleyecektir.
Komut dosyasındaki başka bir işlev olan en önemli işlev, kötü amaçlı bir dosya sunmak ve faiz olmayan bir hedefi meşru bir kaynağa yönlendirmek için kullanılır.
Bulgularına dayanarak, Group-IB, SideWinder’ın altyapısının, kimlik avı etkinliğini desteklemek için yeni komut ve kontrol sunucularını dağıtmak için yaygın olarak yayıldığını değerlendirir.
45 milyon yüklemeli Android uygulamaları SDK'yı hasat kullandı
Flubot Android Kötü Yazılım Operasyonu Kolluk Kuvvetleri tarafından Kapanma
Kötü amaçlı yazılım dağıtım seviyesi düştükçe mobil Truva Tespiti Artar
FBI, ABD kolej ağları için kimlik bilgileri satan bilgisayar korsanları konusunda uyarıyor
Microsoft, büyük mobil sağlayıcılardan Android uygulamalarında ciddi hatalar buluyor
Kaynak: Bleeping Computer