Hơn một ngàn cuộc tấn công mạng đã được hacker SideWinder tiến hành trong 2 năm qua

Một nhóm tin tặc “hung hăng” tấn công có chủ đích (APT) mang tên SideWinder có liên quan đến hơn 1.000 cuộc tấn công mới kể từ tháng 4 năm 2020.

Công ty an ninh mạng Kaspersky cho biết trong một báo cáo được trình bày tại Black Hat Asia vào tháng này rằng: “Một số đặc điểm chính của tin tặc gây ra mối đe dọa này khiến cho nó nổi bật so với những kẻ khác, đó là số lượng tuyệt đối, tần suất cao và sự dai dẳng của các cuộc tấn công cũng như bộ sưu tập lớn các mã độc được mã hóa được sử dụng trong hoạt động của chúng”.

SideWinder, hay còn được gọi là Rattlesnake hoặc T-APT-04, được cho là đã hoạt động ít nhất từ ​​năm 2012 với tiền sử nhắm vào các công ty quân sự, quốc phòng, hàng không, CNTT và các công ty luật ở các nước Trung Á như Afghanistan, Bangladesh, Nepal và Pakistan.

Báo cáo xu hướng APT của Kaspersky cho Quý 1/2022 được công bố vào cuối tháng 4 tiết lộ rằng tin tặc đang tích cực mở rộng mục tiêu ra bên ngoài các nạn nhân truyền thống sang các quốc gia và khu vực khác, bao gồm cả Singapore.

SideWinder bị phát hiện cũng đang lợi dụng cuộc chiến tranh Nga-Ukraine đang diễn ra để làm mồi nhử trong các chiến dịch lừa đảo phishing nhằm phát tán mã độc và đánh cắp thông tin nhạy cảm.

Chuỗi lây nhiễm tập thể đáng chú ý là đã kết hợp các tài liệu bị nhiễm mã độc lợi dụng lỗ hổng code từ xa trong thành phần Equation Editor của Microsoft Office (CVE-2017-11882) để phát tán mã độc trên các hệ thống bị xâm nhập.

Ngoài ra, bộ công cụ của SideWinder sử dụng một số quy trình giải mã phức tạp, mã hóa bằng các khóa độc nhất cho mỗi file độc hại, malware nhiều lớp và chia các chuỗi cơ sở hạ tầng ra lệnh và kiểm soát (C2) thành các thành phần malware khác nhau.

Trình tự lây nhiễm ba giai đoạn bắt đầu với việc các tài liệu giả mạo tải một ứng dụng HTML (HTA), sau đó tải một mô-đun dựa trên .NET để cài đặt thành phần HTA giai đoạn hai được thiết kế để triển khai trình cài đặt dựa trên .NET.

Trình cài đặt này trong giai đoạn tiếp theo chịu trách nhiệm thiết lập tính ổn định trên máy chủ và tải cửa sau cuối cùng vào bộ nhớ. Về phần mình, mã đọc có khả năng thu thập các file cũng như thông tin hệ thống.

Không dưới 400 tên miền và tên miền phụ đã được hacker sử dụng trong hai năm qua. Để thêm một lớp che giấu bổ sung, các URL được sử dụng cho miền C2 được chia thành hai phần. Phần đầu tiên được bao gồm trong trình cài đặt .NET và phần sau được mã hóa bên trong mô-đun HTA giai đoạn hai.

Noushin Shabab của Kaspersky cho biết: “Kẻ gây ra mối đe dọa này có mức độ tinh vi tương đối cao bằng cách sử dụng các vectơ lây nhiễm khác nhau và các kỹ thuật tấn công tiên tiến”. Ông cũng đồng thời kêu gọi các tổ chức sử dụng các phiên bản cập nhật mới nhất của Microsoft Office để giảm thiểu các cuộc tấn công như vậy.

Theo Thehackernews