El actor de amenazas persistentes avanzadas (APT) conocido como SideWinder ha sido acusado de desplegar una puerta trasera en ataques dirigidos contra organizaciones gubernamentales de Pakistán como parte de una campaña que comenzó a fines de noviembre de 2022.
«En esta campaña, el grupo de amenazas persistentes avanzadas (APT) de SideWinder utilizó una técnica de polimorfismo basada en servidor para entregar la carga útil de la siguiente etapa», dijo el equipo de investigación e inteligencia de BlackBerry. dicho en un informe técnico publicado el lunes.
Otra campaña descubierta por la empresa canadiense de ciberseguridad a principios de marzo de 2023 muestra que Turquía también ha caído en el punto de mira de las prioridades de recopilación del actor de amenazas.
SideWinder ha estado en el radar desde al menos 2012 y se sabe que apunta principalmente a varias entidades del sudeste asiático ubicadas en Pakistán, Afganistán, Bután, China, Myanmar, Nepal y Sri Lanka.
Se sospecha que es un grupo patrocinado por el estado indio, SideWinder también se rastrea bajo los nombres APT-C-17, APT-Q-39, Hardcore Nationalist (HN2), Rattlesnake, Razor Tiger y T-APT4.
Las secuencias de ataque típicas montadas por el actor implican el uso de señuelos de correo electrónico cuidadosamente elaborados y Técnicas de carga lateral de DLL para pasar desapercibido e implementar malware capaz de otorgar a los actores acceso remoto a los sistemas objetivo.
Durante el año pasado, SideWinder se ha vinculado a un ciber ataque dirigido en la Escuela de Guerra de la Marina de Pakistán (PNWC), así como un Campaña de malware de Android que aprovechó el limpiador de teléfonos malicioso y las aplicaciones VPN cargadas en Google Play Store para recolectar información confidencial.
La última cadena de infección documentada por BlackBerry refleja los hallazgos de la firma china de ciberseguridad QiAnXin en diciembre de 2022 que detalla el uso de documentos de señuelo de PNWC para lanzar una puerta trasera ligera basada en .NET (App.dll) que es capaz de recuperar y ejecutar malware de próxima etapa desde un servidor remoto.
Lo que hace que la campaña también se destaque es el uso del polimorfismo basado en servidor por parte del actor de amenazas como una forma de eludir potencialmente la detección antivirus (AV) tradicional basada en firmas y distribuir cargas útiles adicionales respondiendo con dos versiones diferentes de un archivo RTF intermedio.
Específicamente, el documento PNWC emplea un método conocido como inyección de plantilla remota para obtener el archivo RTF de modo que contenga el código malicioso solo si la solicitud se origina en un usuario en el rango de direcciones IP de Pakistán.
«Es importante tener en cuenta que en ambos casos, solo el nombre del archivo ‘file.rtf’ y el tipo de archivo son iguales; sin embargo, el contenido, el tamaño del archivo y el hash del archivo son diferentes», explicó BlackBerry.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
«Si el usuario no está en el rango de IP de Pakistán, el servidor devuelve un archivo RTF de 8 bytes (archivo.rtf) que contiene una sola cadena: rtf1. Sin embargo, si el usuario está dentro del rango de IP de Pakistán, el El servidor luego devuelve la carga útil RTF, que varía entre 406 KB y 414 KB en tamaño».
La divulgación llega poco después de que Fortinet y Team Cymru revelaran detalles de los ataques perpetrados por un actor de amenazas con sede en Pakistán conocido como SideCopy contra la defensa india y objetivos militares.
«La última campaña de SideWinder dirigida a Turquía se superpone con los desarrollos más recientes en geopolítica; específicamente, en Turquía. apoyo de Pakistán y lo que sigue reacción de la India», dijo BlackBerry.