Haker nacionalne države poznat kao SideWinder pripisuje se novoj kampanji cyber špijunaže koja cilja na luke i pomorske objekte u Indijskom okeanu i Sredozemnom moru.
BlackBerry istraživački i obavještajni tim, koji je otkrio tu aktivnost, rekao je da su mete kampanje krađe identiteta zemlje poput Pakistana, Egipta, Šri Lanke, Bangladeša, Mijanmara, Nepala i Maldiva.
SideWinder, koji je takođe poznat pod nazivima APT-C-17, Baby Elephant, Hardcore Nationalist, Rattlesnake i Razor Tiger, procjenjuje se da je povezan s Indijom. On je u funkciji od 2012. godine, često koristi spear-phishing kao vektor za isporuku zlonamjernih korisnih podataka koji pokreću lance napada.
“SideWinder koristi tehnike krađe identiteta putem e-pošte, eksploatacije dokumenata i bočnog učitavanja DLL-a u pokušaju da izbjegne otkrivanje i isporuči ciljane implantate”, navodi kanadska kompanija za cyber sigurnost u analizi objavljenoj prošle sedmice.
Najnoviji niz napada koristi mamce vezane za seksualno uznemiravanje, otpuštanje zaposlenika i smanjenje plata kako bi negativno uticali na emocionalno stanje primatelja i naveli ih da otvore Microsoft Word dokumente zarobljene u zamci.
Jednom kada se datoteka za mamce otvori, koristi poznatu sigurnosnu grešku (CVE-2017-0199) da uspostavi kontakt sa zlonamjernim domenom koji se maskira kao pakistanska Generalna uprava za luke i otpremu (“reports.dgps-govtpk[.]com”) da preuzeti RTF fajl.
RTF dokument, zauzvrat, preuzima dokument koji iskorištava CVE-2017-11882, još jednu godinu staru sigurnosnu ranjivost u Microsoft Office Equation Editoru, s ciljem izvršavanja shellcode-a koji je odgovoran za pokretanje JavaScript koda, ali tek nakon što se osigura da kompromitovani sistem je legitiman i interesantan je za hakere.
Trenutno nije poznato šta se isporučuje pomoću JavaScript malvera, iako će krajnji cilj vjerovatno biti prikupljanje obavještajnih podataka zasnovano na prethodnim kampanjama koje je postavio SideWinder.
“Haker SideWinder nastavlja da poboljšava svoju infrastrukturu za ciljanje žrtava u novim regijama”, rekao je BlackBerry. „Stalna evolucija njegove mrežne infrastrukture i nosivosti isporuke sugeriše da će SideWinder nastaviti sa svojim napadima u doglednoj budućnosti.”
Izvor:The Hacker News
