SideWinder 해커, 가짜 안드로이드 VPN 앱으로 파키스탄 법인 노려

SideWinder Hackers Use Fake Android VPN Apps to Target Pakistani Entities

 

SideWinder로 알려진 공격자가 파키스탄 공공 및 민간 부문 기관에 피싱 공격을 실행하기 위해 사용되는 악성코드 무기고에 새로운 커스텀 툴을 추가했습니다.

 

싱가포르에 본사를 둔 사이버 보안 회사인 Group-IB는 지난 수요일 보고서를 통해 아래와 같이 밝혔습니다.

 

"공격자의 주요 공격 벡터는 파키스탄 정부 기관 및 조직의 정식 알림 및 서비스를 모방하는 이메일이나 게시물의 피싱 링크입니다.”

 

SideWinder(Hardcore Nationalist, Rattlesnake, Razor Tiger, T-APT-04로도 알려짐)는 파키스탄과 아프가니스탄, 방글라데시, 네팔, 싱가포르, 스리랑카 등 다른 중앙 아시아 국가에 주로 초점을 맞춰 적어도 2012년부터 활동해 왔습니다.

 

지난 달 Kaspersky는 이 그룹이 지난 2년 동안 사이버 공격 1,000건 이상을 수행했으며, 해당 악성코드의 지속성 및 정교한 난독화 기술에 대해 설명했습니다.

 

공격자는 스피어 피싱 이메일을 통해 원격 서버에서 HTML 애플리케이션(HTA) 페이로드를 다운로드하는 RTF 또는 LNK 파일이 포함된 악성 ZIP 압축파일을 배포합니다.

 

 

<이미지 출처: https://blog.group-ib.com/sidewinder-antibot>

 

 

이는 파키스탄 정부 기관 및 조직의 합법적인 알림 및 서비스를 모방하도록 설계된 사기성 링크를 포함하며, 사용자의 크리덴셜을 수집하기 위해 정부 웹사이트로 위장한 가짜 웹사이트를 설정합니다.

 

Group-IB에서 SideWinder.AntiBot.Script라 명명한 커스텀 툴은 파키스탄 사용자가 피싱 링크를 클릭하도록 유도하는 트래픽 방향 시스템 역할을 합니다.

 

클라이언트의 IP 주소가 링크의 파키스탄 탭과 다를 경우 AntiBot 스크립트는 타깃을 지오펜싱하려 시도하는 정식 서버에 있는 인증 문서로 리디렉션합니다.

 

연구원들은 이에 대해 아래와 같이 설명했습니다.

 

"스크립트는 클라이언트 브라우저 환경을 확인하고 여러 매개변수를 기반으로 악성 파일을 발행할지 아니면 정식 리소스로 리디렉션할지를 결정합니다.”

 

이들은 합법적인 Secure VPN 앱("com.securevpn.securevpn")으로 위장하기 위해 공식 구글 플레이 스토어에서 Secure VPN("com.securedata.vpn")이라는 VPN 응용 프로그램을 다운로드하는 피싱 링크를 사용합니다.

 

 

<이미지 출처: https://blog.group-ib.com/sidewinder-antibot>

 

 

이 가짜 VPN 앱의 정확한 목적은 아직까지 알려지지 않았지만, SideWinder가 악성 앱을 게시하기 위해 구글 플레이 스토어의 보호 장치를 몰래 통과한 것은 이번이 처음이 아닙니다.

 

 

 

 

출처:

https://thehackernews.com/2022/06/sidewinder-hackers-use-fake-android-vpn.html

https://blog.group-ib.com/sidewinder-antibot (IOC)