Compartilhar
Um grupo "agressivo" de ameaças persistentes avançadas (APT) conhecido como SideWinder foi associado a mais de 1.000 novos ataques desde abril de 2020.
“Algumas das principais características desse ator de ameaças que o destacam entre os outros são o grande número, alta frequência e persistência de seus ataques e a grande coleção de componentes maliciosos criptografados e ofuscados usados em suas operações”, afirma a empresa de segurança cibernética Kaspersky. disse em um relatório que foi apresentado na Black Hat Asia este mês.
SideWinder, também chamado de Rattlesnake ou T-APT-04, está ativo desde pelo menos 2012 com um histórico de mirar empresas militares, de defesa, aviação, TI e escritórios jurídicos em países da Ásia Central, como Afeganistão, Bangladesh, Nepal e Paquistão.
O relatório de tendências de APT da Kaspersky para o primeiro trimestre de 2022, publicado no final do mês passado, revelou que o agente da ameaça está expandindo ativamente a geografia de seus alvos além de seu perfil de vítima tradicional para outros países e regiões, incluindo Cingapura.
A SideWinder também foi observada capitalizando a guerra russo-ucraniana em andamento como uma isca em suas campanhas de phishing para distribuir malware e roubar informações confidenciais.
As cadeias de infecção do coletivo adversário são notáveis por incorporar documentos manipulados por malware que aproveitam uma vulnerabilidade de código remoto no componente Equation Editor do Microsoft Office ( CVE-2017-11882 ) para implantar cargas maliciosas em sistemas comprometidos.
Além disso, o conjunto de ferramentas do SideWinder emprega várias rotinas de ofuscação sofisticadas, criptografia com chaves exclusivas para cada arquivo malicioso, malware de várias camadas e divisão de cadeias de infraestrutura de comando e controle (C2) em diferentes componentes de malware.
A sequência de infecção em três estágios começa com os documentos não autorizados descartando uma carga útil de Aplicativo HTML (HTA), que posteriormente carrega um módulo baseado em .NET para instalar um componente HTA de segundo estágio projetado para implantar um instalador baseado em .NET.
Este instalador, na próxima fase, é responsável por estabelecer a persistência no host e carregar o backdoor final na memória. O implante, por sua vez, é capaz de colher arquivos de interesse, informações do sistema, entre outros.
Nada menos que 400 domínios e subdomínios foram usados pelo agente da ameaça nos últimos dois anos. Para adicionar uma camada adicional de sigilo, os URLs usados para domínios C2 são divididos em duas partes, a primeira parte incluída no instalador .NET e a segunda metade criptografada dentro do módulo HTA do segundo estágio.
"Esse agente de ameaças tem um nível relativamente alto de sofisticação usando vários vetores de infecção e técnicas avançadas de ataque", disse Noushin Shabab da Kaspersky, pedindo que as organizações usem versões atualizadas do Microsoft Office para mitigar esses ataques.
Fonte: thehackernews.com