Η καμπάνια εκτελείται από την προηγμένη ομάδα επίμονων απειλών SideWinder και στοχεύει να δημιουργήσει μια αθόρυβη κερκόπορτα των Windows σε μηχανήματα-θύματα.
Μόλις ενεργοποιηθεί, το κακόβουλο λογισμικό μπορεί να κλέψει αρχεία, να καταγράψει δεδομένα και να δώσει τηλεχειρισμό στον εισβολέα.
Κάθε επίθεση ξεκινά με ένα email με φορολογικό θέμα που προτρέπει το θύμα να εξετάσει ένα έγγραφο επιθεώρησης.
Το μήνυμα περιλαμβάνει έναν σύνδεσμο surl.li που οδηγεί σε μια ψεύτικη φορολογική πύλη στη διεύθυνση gfmqvip.vip, η οποία αντιγράφει την εμφάνιση του πραγματικού ιστότοπου φόρου εισοδήματος.
.webp.jpeg "SideWinder APT Hackers επιτίθενται σε ινδικές οντότητες μεταμφιεσμένοι ως Τμήμα Φορολογίας Εισοδήματος της Ινδίας")
Στη συνέχεια, η πύλη ωθεί ένα αρχείο Inspection.zip που είναι αποθηκευμένο στο store10.gofile.io.
Αναλυτές της Zscaler αναγνωρισθείς αυτή η αλυσίδα ενώ κυνηγούσε περίεργη κίνηση surl.li μέσα σε μεγάλα ινδικά δίκτυα.
Είδαν τους χρήστες να μετακινούνται από τον σύντομο σύνδεσμο στην ψεύτικη φορολογική σελίδα, να κατεβάζουν το Inspection.zip και στη συνέχεια να συνδέονται με γνωστούς διακομιστές SideWinder.
Η δουλειά τους δείχνει πώς ένα απλό φορολογικό email μπορεί να οδηγήσει σε μακροπρόθεσμη πρόσβαση σε ευαίσθητα ινδικά συστήματα. Το ληφθέν αρχείο Inspection.zip περιέχει τρία βασικά αρχεία και σηματοδοτεί την έναρξη της πλήρους τεχνικής ανάλυσης.
Περιέχει ένα υπογεγραμμένο δυαδικό αρχείο του Microsoft Defender που μετονομάστηκε σε Inspection Document Review.exe αλλά στην πραγματικότητα SenseCE.exe, μια κακόβουλη βιβλιοθήκη MpGear.dll και ένα αρχείο πιστοποιητικού δόλωσης DMRootCA.crt.
.webp.jpeg "SideWinder APT Hackers επιτίθενται σε ινδικές οντότητες μεταμφιεσμένοι ως Τμήμα Φορολογίας Εισοδήματος της Ινδίας")
Όταν ο χρήστης εκτελεί το πρόγραμμα “επισκόπηση”, τα Windows φορτώνουν το MpGear.dll από τον ίδιο φάκελο, ένα τέχνασμα φόρτωσης DLL πλευρικής φόρτωσης που επιτρέπει στον κώδικα εισβολέα να εκτελείται μέσα σε μια αξιόπιστη διαδικασία.
Έλεγχοι
Πριν επικοινωνήσει με τον διακομιστή εντολών, το MpGear.dll ελέγχει ότι ο κεντρικός υπολογιστής είναι πραγματικός στόχος και όχι sandbox.
.webp.jpeg "SideWinder APT Hackers επιτίθενται σε ινδικές οντότητες μεταμφιεσμένοι ως Τμήμα Φορολογίας Εισοδήματος της Ινδίας")
Καλεί το timeapi.io και το worldtimeapi.org για να διαβάσει τη ζώνη ώρας και συνεχίζει μόνο εάν η τιμή ταιριάζει με ζώνες Νότιας Ασίας, όπως το UTC+5:30.
Ένα τυπικό αρχείο διαμόρφωσης μπορεί να μοιάζει με αυτό:
C2=180.178.56.230Επίσης, κοιμάται για περίπου τρεισήμισι λεπτά για να αποφύγει τις γρήγορες σαρώσεις και εξετάζει τις διαδικασίες που εκτελούνται πριν φορτώσει το επόμενο στάδιο από το Διαδίκτυο.
Στο τελικό στάδιο, το MpGear.dll φτάνει στο 8.217.152.225 για να ανακτήσει έναν μικρό φορτωτή που ονομάζεται 1bin, ρίχνει έναν μόνιμο παράγοντα mysetup.exe στο φάκελο C:\ και γράφει ένα αρχείο ελέγχου όπως το YTSysConfig.ini που αποθηκεύει τον διακομιστή εντολών 180.1730.56 και άλλες σημαίες.
