SideWinder 黑客使用虚假的 Android VPN 应用程序来攻击巴基斯坦实体

被称为 SideWinder 的威胁行为者在其恶意软件库中添加了一个新的自定义工具，该工具被用于针对巴基斯坦公共和私营部门实体的网络钓鱼攻击。

总部位于新加坡的网络安全公司Group IB在周三的一份报告中表示：“模仿巴基斯坦政府机构和组织的合法通知和服务的电子邮件或帖子中的网络钓鱼链接是该团伙的主要攻击载体。”

SideWinder 也被称为 Hardcore Nationalist、Rattlesnake、Razor Tiger 和 T-APT-04，至少自 2012 年以来一直活跃，主要关注巴基斯坦和其他中亚国家，如阿富汗、孟加拉国、尼泊尔、新加坡和斯里兰卡。

上个月，卡巴斯基将过去两年发生的1000多起网络攻击归咎于该组织，同时指出其持久性和复杂的模糊处理技术。

威胁行为人的作案手法包括使用矛式网络钓鱼电子邮件分发包含RTF或LNK文件的恶意ZIP存档，这些文件从远程服务器下载HTML应用程序（HTA）负载。

这是通过嵌入旨在模仿巴基斯坦政府机构和组织的合法通知和服务的欺诈链接来实现的，该集团还设立了貌似的网站，冒充政府门户，以获取用户凭据。

由 Group-IB 确定的自定义工具，称为SideWinder.AntiBot.Script，充当流量引导系统，将巴基斯坦用户点击钓鱼链接转移到流氓域。

如果用户的客户端IP地址与巴基斯坦的不同，请单击链接，AntiBot脚本将重定向到位于合法服务器上的真实文档，表示试图对其目标进行地理隔离。

研究人员说：“该脚本检查客户端浏览器环境，并根据几个参数决定是发布恶意文件还是重定向到合法资源。”

特别值得一提的是一个钓鱼链接，该链接从Google Play官方商店下载一个名为Secure VPN（“com.securedata.VPN”）的VPN应用程序，试图模拟合法的Secure VPN应用程序（“com.securevpn.securevpn”）。

虽然假 VPN 应用程序的确切目的尚不清楚，但这并不是 SideWinder 第一次以实用软件为借口，通过 Google Play 商店的保护措施发布流氓应用程序。

2020年1月，Trend Micro详细介绍了三个伪装成照片和文件管理器工具的恶意应用程序，这些应用程序利用Android（CVE-2019-2215）中的安全漏洞获取根权限，并滥用可访问性服务权限来获取敏感信息。