归因于名为 SideWinder 的高级威胁参与者的网络钓鱼活动涉及在 Google Play 商店上发布的适用于 Android 设备的假 VPN 应用程序，以及用于过滤受害者以更好地定位的自定义工具。

SideWinder 是一个至少从 2012 年开始活跃的 APT 团体，据信是印度血统的演员，具有相对较高的成熟度。

卡巴斯基的安全研究人员在过去两年中将近 1,000 次攻击归咎于该组织。其主要目标包括巴基斯坦、中国、尼泊尔和阿富汗的组织。
攻击者依赖于一个相当大的基础设施，其中包括超过 92 个 IP 地址，主要用于网络钓鱼攻击，托管数百个用作命令和控制服务器的域和子域。

SideWinder APT 集团的基础设施，来源：Group-IB
最近一次归因于 SideWinder（又名 RattleSnake、Razor Tiger、T-APT-04、APT-C-17、Hardcore Nationalist）的网络钓鱼活动针对巴基斯坦公共和私营部门的组织。

今年早些时候，网络安全公司 Group-IB 的研究人员发现了一份网络钓鱼文件，该文件通过一份提议“正式讨论美国从阿富汗撤军对海上安全的影响”的文件来引诱受害者。

SideWinder APT 组织在网络钓鱼活动中使用的诱饵，来源：Group-IB
在与 BleepingComputer 共享的一份报告中，Group-IB 表示，过去还观察到 SideWinder 克隆政府网站（例如斯里兰卡的政府门户网站）以窃取用户凭据。

最近的网络钓鱼活动也对目标使用了这种方法，因为该行为者建立了多个模仿巴基斯坦政府合法域的网站：

金融.pakgov[.]net
vpn.pakgov[.]net
csd.pakgov[.]net
hajj.pakgov[.]net
nadra.pakgov[.]net
pt.pakgov[.]net
flix.pakgov[.]net
covid.pakgov[.]net
在调查过程中，研究人员发现了一个重定向到合法域“securevpn.com”的网络钓鱼链接。其目的仍不清楚，但可能是选择感兴趣的目标并将其重定向到恶意站点。

Group-IB 发现的另一个链接是从官方 Android 应用商店 Google Play 下载的，它是“Secure VPN”应用的假版本，在撰写本文时仍然存在于 Google Play 上，下载量刚刚超过 10 次。

SiderWinder APT 在网络钓鱼活动中使用的 Google Play 中的假安全 VPN 应用程序，来源：BleepingComputer
研究人员指出，可用于 SideWinder 的假 Secure VPN 应用程序的描述是从合法的 NordVPN 应用程序复制而来的。

在运行时，伪造的 Secure VPN 应用程序向攻击者可能拥有的两个域发出了几个请求，但在调查期间这些域不可用，并且对根目录的请求被重定向到合法的 NordVPN 域。

不幸的是，研究人员无法确认假 VPN 应用程序的用途或是否是恶意的。然而，SideWinder 过去曾在 Google Play 上使用过假应用， 趋势科技过去的研究表明。

SideWinder 以前的虚假应用程序能够收集并发送到命令和控制服务器信息的操作列表，例如：

地点
电池状态
设备上的文件
已安装应用列表
设备信息
传感器信息
相机信息
截屏
帐户
无线网络信息
微信、Outlook、Twitter、雅虎邮箱、Facebook、Gmail、Chrome的数据
他们的应用程序能够收集目标主机上的许多参数并将信息发送回他们的 C2。此类参数包括：位置、电池状态、设备上的文件、已安装应用列表、设备信息、传感器信息、相机信息、屏幕截图、帐户、Wifi 信息、微信、Outlook、Twitter、雅虎邮箱、Facebook、Gmail 和 Chrome 的数据.

Group-IB 还发现，攻击者使用了一个自定义工具，该工具最近被添加到他们的武器库中，由 Group-IB 在内部跟踪为 SideWinder.AntiBot.Script。

“脚本检查客户端浏览器环境，并根据几个参数决定是发出恶意文件还是重定向到合法资源” - Group-IB

如果脚本检测到来自巴基斯坦 IP 的访问者，它会重定向到恶意位置。检查以下参数以确定访问者是否是潜在目标：

地理位置
操作系统版本
关于用户代理的数据
系统语言设置
它还可以确定系统上的逻辑处理器数量和主机使用的视频卡，以及访问 Web 浏览器中的凭据容器，该容器可以返回保存的密码。

检查视频卡可能会确定主机是否用于恶意软件分析目的，因为它与设备的屏幕大小进行了比较。

脚本中的另一个功能是最重要的功能，用于提供恶意文件并将不感兴趣的目标重定向到合法资源。

根据其调查结果，Group-IB 评估认为 SideWinder 的基础设施已广泛传播，以部署新的命令和控制服务器以支持网络钓鱼活动。