Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Group-IB deckt SideWinder APT-Verschwörung zum Diebstahl von Krypto auf
1. März 2023 - TuxCare PR Team
Group-IB entdeckte kürzlich eine neue Phishing-Kampagne, die vermutlich von der berüchtigten chinesischen staatlich geförderten Hackergruppe Sidewinder stammt.
Die Angriffe, die im Januar 2022 begannen und immer noch andauern, sind vermutlich Teil einer größeren Cyberspionage-Kampagne, die darauf abzielt, sensible Daten von Militär- und Regierungsbehörden sowie von Unternehmen der Privatwirtschaft zu stehlen.
Die Angriffe, die im Januar 2022 begannen und bis heute andauern, sind vermutlich Teil einer größeren Cyberspionage-Kampagne, die darauf abzielt, sensible Daten von Militär- und Regierungsbehörden sowie von Unternehmen des Privatsektors zu stehlen. Die Phishing-E-Mails sind raffiniert und personalisiert und verleiten die Opfer dazu, auf bösartige Links zu klicken oder infizierte Anhänge herunterzuladen.
Nachdem sie den Computer eines Opfers infiziert haben, können die Angreifer Zugang zu sensiblen Informationen wie Anmeldeinformationen, E-Mail-Archiven und anderen vertraulichen Daten erlangen. Die Sidewinder-Gruppe ist seit mindestens 2012 aktiv und wird mit einer Vielzahl von Spionageoperationen in Verbindung gebracht, die sich unter anderem gegen ausländische Regierungen, Militär- und Verteidigungsunternehmen sowie Menschenrechtsorganisationen richten.
Den Forschern zufolge versuchten die Angreifer, die Anmeldedaten der Benutzer zu stehlen, indem sie einen Airdrop der Kryptowährung NCASH vortäuschten. Ihnen zufolge wird NCASH als Zahlungsmethode im Nucleus Vision-Ökosystem verwendet, das von Einzelhandelsgeschäften in Indien genutzt wird. Den Forschern zufolge entdeckten sie einen Phishing-Link, der sich auf einen Kryptowährungs-Airdrop bezog.
Benutzer, die den Link (http://5[.]2[.]79[.]135/project/project/index.html) besuchten, wurden aufgefordert, sich zu registrieren, um an einem Airdrop teilzunehmen und Token zu erhalten, wobei jedoch nicht angegeben wurde, welche Token. Der Benutzer aktiviert ein Skript login.php, indem er auf die Schaltfläche "Submit details" (Details übermitteln) drückt, von dem die Forscher glauben, dass die Gruppe diesen Angriffsvektor weiterentwickelt.
Group-IB entdeckte auch eine Fülle von SideWinder-spezifischen Werkzeugen, von denen nur einige zuvor öffentlich beschrieben worden waren, geschrieben in einer Vielzahl von Programmiersprachen wie C++, C#, Go, Python (kompiliertes Skript) und VBScript.
SideWinder, das neueste maßgeschneiderte Tool der Gruppe, ist Teil dieses Arsenals. StealerPy, ein auf Python basierender Informationsdieb, der bereits in Phishing-Angriffen gegen pakistanische Organisationen eingesetzt wurde. Das Skript kann den Google Chrome-Browserverlauf eines Opfers, gespeicherte Anmeldeinformationen, die Liste der Ordner im Verzeichnis sowie Metainformationen und den Inhalt von .docx-, .pdf- und .txt-Dateien auslesen. Die Gruppe ist bekannt dafür, dass sie "Hunderte von Spionageoperationen in kurzer Zeit" durchführt.
Die Phishing-E-Mails sind raffiniert und personalisiert und verleiten die Opfer dazu, auf bösartige Links zu klicken oder infizierte Anhänge herunterzuladen. Nachdem sie den Computer eines Opfers infiziert haben, können die Angreifer Zugang zu vertraulichen Informationen wie Anmeldeinformationen, E-Mail-Archiven und anderen vertraulichen Daten erlangen.
Die Sidewinder-Gruppe ist seit mindestens 2012 aktiv und wird mit einer Reihe von Spionageoperationen in Verbindung gebracht, die sich unter anderem gegen ausländische Regierungen, Militär- und Rüstungsunternehmen sowie Menschenrechtsorganisationen richten. Die Gruppe wurde auch mit verschiedenen südostasiatischen Cyberspionagekampagnen in Verbindung gebracht, darunter Angriffe auf Vietnam, die Philippinen und Kambodscha.
Die Ergebnisse bestätigten nicht, ob die Versuche von SideWinder, die Opfer zu kompromittieren, erfolgreich waren.
Zu den Quellen für diesen Beitrag gehört ein Artikel in DarkReading.
