Kampanye phishing yang dikaitkan dengan aktor ancaman tingkat lanjut bernama SideWinder melibatkan aplikasi VPN palsu untuk perangkat Android yang dipublikasikan di Google Play Store bersama dengan alat khusus yang memfilter korban untuk penargetan yang lebih baik.
SideWinder adalah grup APT yang sudah aktif setidaknya sejak 2012, diyakini sebagai aktor asal India dengan tingkat kecanggihan yang relatif tinggi.
Peneliti keamanan di Kaspersky mengaitkan hampir 1.000 serangan dengan kelompok ini dalam dua tahun terakhir. Di antara target utamanya adalah organisasi di Pakistan, Cina, Nepal, dan Afghanistan.
Musuh mengandalkan infrastruktur yang cukup besar yang mencakup lebih dari 92 alamat IP, terutama untuk serangan phishing, menampung ratusan domain dan subdomain yang digunakan sebagai server perintah dan kontrol.
Kampanye phishing baru-baru ini yang dikaitkan dengan SideWinder (alias RattleSnake, Razor Tiger, T-APT-04, APT-C-17, Hardcore Nationalist) menargetkan organisasi di Pakistan baik di sektor publik maupun swasta.
Para peneliti di perusahaan keamanan siber Group-IB awal tahun ini mendeteksi dokumen phishing yang memikat para korban dengan dokumen yang mengusulkan “diskusi formal tentang dampak penarikan AS dari Afghanistan terhadap keamanan maritim.”
Dalam laporan yang dibagikan dengan BleepingComputer, Group-IB mengatakan bahwa SideWinder juga telah diamati di situs web pemerintah yang mengkloning sebelumnya (misalnya portal pemerintah di Sri Lanka) untuk mencuri kredensial pengguna.
Kampanye phishing baru-baru ini juga menggunakan metode ini terhadap target, karena aktor tersebut membuat beberapa situs web yang meniru domain sah pemerintah Pakistan:
Selengkapnya
Selama penyelidikan, para peneliti menemukan tautan phishing yang dialihkan ke domain sah “securevpn.com.” Tujuannya masih belum jelas, tetapi bisa jadi untuk memilih target yang menarik dan mengarahkan mereka ke situs jahat.
Tautan lain yang ditemukan oleh Group-IB diunduh dari Google Play, toko aplikasi Android resmi, versi palsu dari aplikasi ‘VPN Aman’, yang masih ada di Google Play pada saat penulisan dan memiliki lebih dari 10 unduhan.
Para peneliti mencatat bahwa deskripsi yang tersedia untuk aplikasi Secure VPN palsu SideWinder telah disalin dari aplikasi NordVPN yang sah.
Saat runtime, aplikasi Secure VPN palsu membuat beberapa permintaan ke dua domain yang kemungkinan dimiliki oleh penyerang tetapi ini tidak tersedia selama penyelidikan dan permintaan ke direktori root dialihkan ke domain NordVPN yang sah.
Sayangnya, para peneliti tidak dapat mengkonfirmasi tujuan dari aplikasi VPN palsu atau apakah itu berbahaya atau tidak. Namun, SideWinder telah menggunakan aplikasi palsu di Google Play di masa lalu, seperti yang ditunjukkan oleh penelitian sebelumnya dari Trend Micro.
Daftar tindakan yang dapat dilakukan oleh aplikasi palsu sebelumnya dari SideWinder untuk mengumpulkan dan mengirim ke perintah dan mengontrol informasi server seperti:
Selengkapnya
aplikasi mereka mampu mengumpulkan sejumlah parameter pada host yang ditargetkan dan mengirim informasi kembali ke C2 mereka. Parameter tersebut meliputi: Lokasi, Status baterai, File di perangkat, Daftar aplikasi yang diinstal, Informasi perangkat, Informasi sensor, Informasi kamera, Tangkapan layar, Akun, informasi Wifi, Data WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail, dan Chrome .
Group-IB juga menemukan bahwa musuh menggunakan alat khusus yang baru saja ditambahkan ke gudang senjata mereka, dilacak secara internal oleh Group-IB sebagai SideWinder.AntiBot.Script.
Jika skrip mendeteksi pengunjung dari IP di Pakistan, skrip akan dialihkan ke lokasi berbahaya. Parameter berikut diperiksa untuk menentukan apakah pengunjung merupakan target potensial atau tidak:
- Posisi geografis
- Versi sistem operasi
- Data tentang agen pengguna
- Pengaturan bahasa sistem
Itu juga dapat menentukan jumlah prosesor logis pada sistem dan kartu video yang digunakan oleh host, serta mengakses wadah kredensial di browser web, yang dapat mengembalikan kata sandi yang disimpan.
Memeriksa kartu video kemungkinan akan menentukan apakah host digunakan untuk tujuan analisis malware, karena dibandingkan dengan ukuran layar perangkat.
Fungsi lain dalam skrip, yang paling signifikan, digunakan untuk menyajikan file berbahaya dan untuk mengarahkan target non-minat ke sumber daya yang sah.
Sumber: Bleeping Computer