响尾蛇导弹善于利用新的”华鹰”后门，瞄准巴基斯坦的实体

响尾蛇导弹是一个多产的民族国家行为者，主要以巴基斯坦军事实体为目标，损害了国家电力监管机构( NEPRA )的官方网站，以提供一个名为”华鹰”的定制恶意软件。

  Zscaler ThreatLabz说：”新发现的WarHawk后门包含了提供钴攻击的各种恶意模块，其中包含了诸如KernelCallBackTable注入和巴基斯坦标准时区检查等新的TTP，以确保取得胜利。

威胁集团，也被称为APT – C – 17、响尾蛇和剃刀虎虎，被怀疑是印度国家赞助的集团，尽管今年5月早些时候来自卡巴斯基的一份报告承认，导致归属的先前指标已经消失，使其难以将威胁集群与特定国家联系起来。

就WarHawk而言，它伪装成合法的应用程序，如ASUS Update Setup和瑞昱半导体HD Audio Manager，以引诱不知情的受害者执行，从而将系统元数据渗透至硬编码的远程服务器，同时还接收来自URL的额外负载。

这包括一个命令执行模块，负责在从命令和控制服务器接收的受感染机器上执行系统命令，一个文件管理器模块，递归枚举存在于不同驱动器中的文件，以及一个上传模块，将感兴趣的文件传输到服务器。

使用上述命令执行模块作为第二级有效载荷部署的是钴打击装载器，它验证主机的时区以确认其与巴基斯坦标准时间( PKT )相匹配，否则进程终止。

如果所有的反分析检查都成功通过，加载器使用一种名为KernelCallbackTable进程注入的技术将shellcode代码注入一个记事本. exe进程，恶意软件作者从一个在线别名Capt的研究人员于2022年4月发布的技术写入中提升源代码。梅洛.

然后shellcode代码解密并加载Beacon，这是Cobalt Strike使用的默认恶意软件负载，用于建立到其命令和控制服务器的连接。

根据网络安全公司的说法，攻击活动与响尾蛇导弹APT的联系源于该集团在以前针对巴基斯坦的间谍活动中使用的网络基础设施的再利用。

研究人员总结说：”响尾蛇导弹APT集团正在不断演变其策略，并在其武库中增加新的恶意软件，以便对其目标进行成功的间谍攻击。“