Un grupo de amenazas persistentes avanzadas (APT) «agresivo» conocido como SideWinder se ha relacionado con más de 1,000 nuevos ataques desde abril de 2020.
«Algunas de las principales características de este actor de amenazas que lo hacen destacar entre los demás son la gran cantidad, la alta frecuencia y la persistencia de sus ataques y la gran colección de componentes maliciosos encriptados y ofuscados que utilizan en sus operaciones», dijo la firma de seguridad cibernética Kaspersky. dijo en un informe que se presentó en Black Hat Asia este mes.
Se dice que SideWinder , también llamado Rattlesnake o T-APT-04, ha estado activo desde al menos 2012 con un historial de apuntar a empresas militares, de defensa, aviación, TI y firmas legales en países de Asia Central como Afganistán, Bangladesh, Nepal y Pakistán.
El informe de tendencias de APT de Kaspersky para el primer trimestre de 2022 publicado a fines del mes pasado reveló que el actor de amenazas está expandiendo activamente la geografía de sus objetivos más allá de su perfil de víctima tradicional a otros países y regiones, incluido Singapur.
También se ha observado a SideWinder aprovechando la guerra ruso-ucraniana en curso como señuelo en sus campañas de phishing para distribuir malware y robar información confidencial.
Las cadenas de infección del colectivo adversario se destacan por incorporar documentos manipulados con malware que aprovechan una vulnerabilidad de código remoto en el componente Equation Editor de Microsoft Office ( CVE-2017-11882 ) para implementar cargas maliciosas en sistemas comprometidos.
Además, el conjunto de herramientas de SideWinder emplea varias rutinas de ofuscación sofisticadas, cifrado con claves únicas para cada archivo malicioso, malware multicapa y división de cadenas de infraestructura de comando y control (C2) en diferentes componentes de malware.
La secuencia de infección de tres etapas comienza cuando los documentos no autorizados sueltan una carga útil de aplicación HTML (HTA), que posteriormente carga un módulo basado en .NET para instalar un componente HTA de segunda etapa que está diseñado para implementar un instalador basado en .NET.
Este instalador, en la siguiente fase, es responsable de establecer la persistencia en el host y cargar la puerta trasera final en la memoria. El implante, por su parte, es capaz de recolectar archivos de interés así como información del sistema, entre otros.
El actor de amenazas ha utilizado no menos de 400 dominios y subdominios en los últimos dos años. Para agregar una capa adicional de sigilo, las URL utilizadas para los dominios C2 se dividen en dos partes, la primera parte de la cual se incluye en el instalador de .NET y la segunda mitad se cifra dentro del módulo HTA de la segunda etapa.
«Este actor de amenazas tiene un nivel relativamente alto de sofisticación al usar varios vectores de infección y técnicas de ataque avanzadas», dijo Noushin Shabab de Kaspersky, instando a las organizaciones a usar versiones actualizadas de Microsoft Office para mitigar tales ataques.
