SideWinder APT
Les empreses marítimes i logístiques del sud i sud-est asiàtic, Àfrica i Orient Mitjà s'han convertit en els principals objectius d'un grup d'amenaça persistent avançada (APT) conegut com SideWinder. Els recents ciberatacs observats el 2024 han afectat organitzacions de Bangla Desh, Cambodja, Djibouti, Egipte, els Emirats Àrabs Units i Vietnam.
Més enllà dels sectors marítims, SideWinder també ha posat la mirada en les centrals nuclears i les infraestructures d'energia nuclear al sud d'Àsia i Àfrica. Altres indústries afectades inclouen telecomunicacions, consultoria, serveis informàtics, agències immobiliàries i fins i tot sectors de l'hostaleria com l'hoteleria.
Taula de continguts
Objectius diplomàtics i la connexió índia
En una notable expansió de la seva petjada d'atac, SideWinder també ha llançat operacions cibernètiques contra entitats diplomàtiques a l'Afganistan, Algèria, Bulgària, la Xina, l'Índia, les Maldives, Ruanda, l'Aràbia Saudita, Turquia i Uganda. L'orientació específica del grup a l'Índia és significativa, donada l'especulació anterior que l'actor de l'amenaça pot ser d'origen indi.
Un adversari esquivant i en constant evolució
SideWinder és conegut per la seva contínua evolució, i els experts el descriuen com un "adversari molt avançat i perillós". El grup millora constantment el seu conjunt d'eines, evade les deteccions de programari de seguretat i garanteix la persistència a llarg termini dins de xarxes compromeses alhora que minimitza la seva petjada digital.
StealerBot: una eina d'espionatge letal
L'octubre de 2024, els investigadors de ciberseguretat van realitzar una anàlisi en profunditat de SideWinder, revelant el seu ús de StealerBot, un conjunt d'eines post-explotació modular dissenyat per extreure dades sensibles de sistemes compromesos. L'interès de SideWinder per la indústria marítima es va documentar prèviament el juliol de 2024, destacant el seu enfocament persistent i centrat.
El mètode d'atac: phishing i explotacions
Els darrers atacs segueixen un patró familiar. Els correus electrònics de pesca de pesca serveixen com a vector d'infecció inicial, que porten documents no segurs que exploten una vulnerabilitat coneguda de Microsoft Office (CVE-2017-11882). Un cop oberts, aquests documents desencadenen una seqüència de diverses etapes, que finalment desplega un descarregador .NET anomenat ModuleInstaller, que, al seu torn, llança StealerBot.
Els investigadors han confirmat que molts dels documents d'atracció fan referència a agències d'energia nuclear, centrals nuclears, infraestructures marítimes i autoritats portuàries, cosa que indica un enfocament altament estratègic per orientar les indústries crítiques.
Adaptar-se per mantenir-se per davant de les mesures de seguretat
SideWinder supervisa activament les deteccions de seguretat del seu programari maliciós. Un cop identificades les seves eines, el grup desenvolupa ràpidament versions noves i modificades, de vegades en poques hores. Si les solucions de seguretat marquen el seu comportament, responen alterant les tècniques de persistència, canviant els noms i els camins dels fitxers i ajustant com es carreguen els components nocius.
Perfeccionant contínuament els seus mètodes d'atac i adaptant-se ràpidament a les contramesures, SideWinder continua sent una amenaça cibernètica persistent i en evolució per a les indústries clau a tot el món.
