SideWinder APT使用新型战鹰后门攻击巴基斯坦目标实体

SideWinder是一个多产的民族国家行为者，主要以针对巴基斯坦军事实体而闻名，他破坏了国家电力监管局（NEPRA）的官方网站，发布了一个定制的恶意软件，名为战鹰.

Zscaler ThreatLabz表示：“新发现的战鹰后门包含各种恶意模块，可提供Cobalt Strike，包括新的TTP，如KernelCallBackTable注入和巴基斯坦标准时区检查，以确保战役的胜利”。

这一威胁组织，也称为APT-C-17、响尾蛇和剃刀虎，被怀疑是印度国家赞助的行为体，尽管卡巴斯基今年5月早些时候的一份报告承认，导致这一归因的先前指标已经消失，因此将这一威胁集群与特定国家联系起来具有挑战性。

据称，自2020年4月以来，该组织发动了1000多起袭击，这表明SideWinder自10年前2012年开始运营以来，新发现的侵略行为。

尽管该集团利用了大量模糊和新开发的组件，但入侵不仅在频率上，而且在持续性上都非常重要。

2022年6月，威胁行为人被发现利用了一个AntiBot脚本，该脚本旨在过滤受害者，以检查客户端浏览器环境，特别是IP地址，以确保目标位于巴基斯坦。

Zscaler发现的9月份的行动需要使用NEPRA网站上托管的武器化ISO文件来激活导致部署“战鹰”恶意软件的杀伤链，通过显示巴基斯坦内阁部门于2022年7月27日发布的合法建议，该artifact还充当了一个诱饵来隐藏恶意活动。

就WarHawk而言，它伪装成ASUS Update Setup和Realtek HD Audio Manager等合法应用程序，引诱不知情的受害者执行，从而将系统元数据过滤到硬编码的远程服务器，同时还从URL接收额外的有效载荷。

这包括一个命令执行模块，负责在从命令和控制服务器接收的受感染机器上执行系统命令，一个文件管理器模块，递归地枚举不同驱动器中存在的文件，以及一个上传模块，将感兴趣的文件传输到服务器。

使用上述命令执行模块作为第二级有效载荷部署的还有钴打击装载机，该装载机验证主机的时区，以确认其与巴基斯坦标准时间（PKT）相匹配，否则将终止该过程。

如果所有反分析检查都成功通过，加载程序会使用名为KernelCallbackTable进程注入的技术将shellcode注入到notepad.exe进程中，恶意软件作者会从2022年4月发布的一篇技术报告中提取源代码，该研究人员的在线别名为Capt.Meelo。

然后，外壳代码对Beacon进行解密并加载，Beacon是Cobalt Strike用来建立其命令和控制服务器连接的默认恶意软件负载。

根据网络安全公司的说法，攻击活动与SideWinder APT的联系源于网络基础设施的重复使用，该网络基础设施已被确定为该组织在针对巴基斯坦的间谍活动中使用的。

研究人员总结道：“SideWinder APT集团正在不断改进他们的策略，并在其武库中添加新的恶意软件，以便对其目标进行成功的间谍攻击活动”。