Nuove analisi su campioni recenti di malware, riconducibili alla famiglia dell’APT Sidewinder, gruppo indiano che ha iniziato le attività nel 2012 e prende di mira istituzioni militari del Pakistan
Check Point Research afferma che il quartier generale dell’aeronautica militare pakistana è stato vittima di un attacco portato a termine con successo, riconducibile al gruppo APT filo-indiano Sidewinder.
Gruppo APT con sede in India attacca l’esercito del Pakistan
I ricercatori hanno scoperto che diversi campioni di malware e due file crittografati sono stati caricati su Virus Total nel maggio 2022.
Sulla base dei risultati della decrittazione (e del reverse engineering sui sample), è diventato chiaro che uno di questi è una DLL .NET associata ad APT Sidewinder, gruppo noto per prendere di mira le organizzazioni governative in Pakistan e Cina.
Il malware utilizzato nell’operazione di spionaggio divulgata viene utilizzato esclusivamente da questo APT e ruba file nei seguenti formati: docx, doc, xls, xlsx, pdf, ppt, pptx, rar e zip.
Un altro file da 2 MB era un registro di elaborazione del malware e conteneva un elenco di tutti i file rilevanti sul computer infetto (tree list).
Analizzando l’elenco presentato di oltre 20.000 nomi, i ricercatori di Check Point hanno concluso che la campagna informatica aveva una gamma abbastanza ampia di obiettivi: inclusi elementi nel campo dell’aviazione, comunicazioni, complessi nucleari, istruzione, elettricità, ecc.
Inoltre, alcuni dei percorsi dei fascicoli indicavano documenti riconducibili ai capi di stato maggiore congiunti delle forze armate pakistane.
Dai nomi di file e directory, l’analisi è stata in grado di determinare il nome degli account compromessi. Uno di questi AHQ-STRC3 si riferisce chiaramente alla designazione del quartier generale dell’aeronautica militare pakistana.
Considerando che il file di registro creato dal malware ha rivelato l’identità delle vittime, compresi i nomi di documenti e sistemi sensibili, l’attacco SideWinder può essere considerato un successo, come concordato ovviamente anche da una vittima già colpita, che si è vista appunto i dati esfiltrati e i computer infetti.