APT di SideWinder
Le aziende marittime e logistiche in Asia meridionale e sud-orientale, Africa e Medio Oriente sono diventate i principali obiettivi di un gruppo di minacce persistenti avanzate (APT) noto come SideWinder. I recenti attacchi informatici osservati nel 2024 hanno avuto un impatto su organizzazioni in Bangladesh, Cambogia, Gibuti, Egitto, Emirati Arabi Uniti e Vietnam.
Oltre ai settori marittimi, SideWinder ha puntato gli occhi anche sulle centrali nucleari e sulle infrastrutture per l'energia nucleare in Asia meridionale e Africa. Altri settori interessati includono telecomunicazioni, consulenza, servizi IT, agenzie immobiliari e persino settori dell'ospitalità come gli hotel.
Sommario
Obiettivi diplomatici e il collegamento indiano
In una notevole espansione della sua impronta di attacco, SideWinder ha anche lanciato operazioni informatiche contro entità diplomatiche in Afghanistan, Algeria, Bulgaria, Cina, India, Maldive, Ruanda, Arabia Saudita, Turchia e Uganda. L'obiettivo specifico del gruppo nei confronti dell'India è significativo, date le precedenti speculazioni secondo cui l'attore della minaccia potrebbe essere di origine indiana.
Un avversario in continua evoluzione e sfuggente
SideWinder è noto per la sua continua evoluzione, tanto che gli esperti lo descrivono come un "avversario altamente avanzato e pericoloso". Il gruppo migliora costantemente i suoi set di strumenti, elude i rilevamenti dei software di sicurezza e garantisce la persistenza a lungo termine all'interno delle reti compromesse, riducendo al minimo la sua impronta digitale.
StealerBot: uno strumento di spionaggio letale
Nell'ottobre 2024, i ricercatori di sicurezza informatica hanno condotto un'analisi approfondita di SideWinder, rivelando il suo utilizzo di StealerBot, un toolkit modulare post-sfruttamento progettato per estrarre dati sensibili da sistemi compromessi. L'interesse di SideWinder per il settore marittimo è stato precedentemente documentato nel luglio 2024, evidenziando il suo approccio persistente e mirato.
Il metodo di attacco: spear-phishing ed exploit
Gli ultimi attacchi seguono uno schema familiare. Le e-mail di spear-phishing fungono da vettore di infezione iniziale, trasportando documenti non sicuri che sfruttano una vulnerabilità ben nota di Microsoft Office (CVE-2017-11882). Una volta aperti, questi documenti innescano una sequenza multi-fase, che alla fine distribuisce un downloader .NET denominato ModuleInstaller, che, a sua volta, avvia StealerBot.
I ricercatori hanno confermato che molti dei documenti esca fanno riferimento ad agenzie per l'energia nucleare, centrali nucleari, infrastrutture marittime e autorità portuali, il che indica un approccio altamente strategico per colpire settori critici.
Adattarsi per restare al passo con le misure di sicurezza
SideWinder monitora attivamente i rilevamenti di sicurezza del suo malware. Una volta identificati i suoi strumenti, il gruppo sviluppa rapidamente nuove versioni modificate, a volte nel giro di poche ore. Se le soluzioni di sicurezza segnalano il loro comportamento, rispondono modificando le tecniche di persistenza, cambiando i nomi e i percorsi dei file e regolando il modo in cui vengono caricati i componenti dannosi.
Grazie al continuo perfezionamento dei suoi metodi di attacco e al rapido adattamento alle contromisure, SideWinder continua a rappresentare una minaccia informatica persistente e in continua evoluzione per i settori industriali chiave in tutto il mondo.
