El actor de amenaza estatal-nación conocido como SideWinder ha sido atribuido a una nueva campaña de espionaje cibernético dirigida a puertos e instalaciones marítimas en el Océano Índico y el Mar Mediterráneo.
El equipo de investigación e inteligencia de BlackBerry, que descubierto La actividad, según la cual los objetivos de la campaña de phishing incluyen países como Pakistán, Egipto, Sri Lanka, Bangladesh, Myanmar, Nepal y las Maldivas.
Se cree que SideWinder, también conocido con los nombres APT-C-17, Baby Elephant, Hardcore Nationalist, Rattlesnake y Razor Tiger, está afiliado a la India. Está en funcionamiento desde 2012 y suele utilizar el phishing selectivo como vector para enviar cargas útiles maliciosas que desencadenan las cadenas de ataques.
«SideWinder utiliza técnicas de phishing por correo electrónico, explotación de documentos y carga lateral de DLL en un intento de evitar la detección y entregar implantes específicos», dijo la empresa canadiense de ciberseguridad en un análisis publicado la semana pasada.
El último conjunto de ataques emplea señuelos relacionados con acoso sexual, despido de empleados y recortes salariales para impactar negativamente el estado emocional de los destinatarios y engañarlos para que abran documentos trampa de Microsoft Word.
Una vez que se abre el archivo señuelo, aprovecha una falla de seguridad conocida (CVE-2017-0199) para establecer contacto con un dominio malicioso que se hace pasar por la Dirección General de Puertos y Transporte Marítimo de Pakistán («reports.dgps-govtpk[.]com») para recuperar un archivo RTF.
El documento RTF, a su vez, descarga un documento que explota CVE-2017-11882, otra vulnerabilidad de seguridad de hace años en el Editor de ecuaciones de Microsoft Office, con el objetivo de ejecutar el shellcode responsable de lanzar el código JavaScript, pero solo después de asegurarse de que el sistema comprometido es legítimo y es de interés para el actor de la amenaza.
Actualmente no se sabe qué se transmite a través del malware JavaScript, aunque es probable que el objetivo final sea la recopilación de inteligencia basada en campañas anteriores montadas por SideWinder.
«El actor de amenazas SideWinder continúa mejorando su infraestructura para atacar a sus víctimas en nuevas regiones», afirmó BlackBerry. «La constante evolución de su infraestructura de red y de sus cargas útiles de entrega sugiere que SideWinder continuará con sus ataques en el futuro cercano».