Los investigadores vinculan al grupo SideWinder con docenas de ataques dirigidos en varios países


16 de febrero de 2023Ravie LakshmanánAmenaza Persistente Avanzada

el prolífico SideWinder El grupo ha sido atribuido como el actor del estado-nación detrás de los intentos de ataques contra 61 entidades en Afganistán, Bután, Myanmar, Nepal y Sri Lanka entre junio y noviembre de 2021.

Los objetivos incluían organizaciones gubernamentales, militares, policiales, bancarias y otras, según un informe exhaustivo publicado por Group-IB, que también encontró vínculos entre el adversario y otros dos conjuntos de intrusión rastreados como Baby Elephant y DoNot Team.

SideWinder también se conoce como APT-C-17, Hardcore Nationalist (HN2), Rattlesnake, Razor Tiger y T-APT4. Se sospecha que es de origen indio, aunque Kaspersky en 2022 señaló que la atribución ya no es determinista.

El grupo se ha relacionado con no menos de 1.000 ataques contra organizaciones gubernamentales en la región de Asia-Pacífico desde abril de 2020, según un informe de la firma rusa de ciberseguridad a principios del año pasado.

De los 61 objetivos potenciales recopilados por Group-IB, 29 de ellos están ubicados en Nepal, 13 en Afganistán, 10 en Myanmar, seis en Sri Lanka y uno en Bután.

Las cadenas de ataque típicas montadas por el adversario comienzan con correos electrónicos de phishing selectivo que contienen un archivo adjunto o una URL trampa que dirige a las víctimas a una carga útil intermedia que se utiliza para lanzar el malware de etapa final.

También se dice que SideWinder agregó una lista de nuevas herramientas a su operación, incluido un troyano de acceso remoto y un ladrón de información escrito en Python que es capaz de filtrar datos confidenciales almacenados en la computadora de una víctima a través de Telegram.

“Los atacantes avanzados han comenzado a preferir Telegram a los servidores tradicionales de comando y control debido a su conveniencia”, dijo Group-IB.

Grupo SideWinder

La compañía con sede en Singapur dijo además que descubrió evidencia que vincula al actor con un ataque de 2020 dirigido al gobierno de Maldivas, además de establecer superposiciones de infraestructura y tácticas entre SideWinder, Baby Elephant y DoNot Team.

Si bien se sabe que DoNot Team tiene interés en Bangladesh, India, Nepal, Pakistán y Sri Lanka, Baby Elephant fue documentado por primera vez por la firma china de ciberseguridad Antiy Labs en 2021 como una amenaza persistente avanzada de India dirigida a agencias gubernamentales y de defensa en China y Pakistán.

“Desde 2017, la cantidad de ataques de ‘Baby Elephant’ se ha duplicado cada año, y los métodos y recursos de ataque se han enriquecido gradualmente, y el objetivo ha comenzado a cubrir más áreas en el sur de Asia”, dijo la compañía. citado como dijo al medio de comunicación estatal chino Global Times en ese momento.

Además, se han descubierto similitudes de código fuente entre SideWinder y aquellos utilizado por otros grupos con un enfoque del sur de Asia, como Transparent Tribe, Patchwork (también conocido como Hangover) y No hagas equipo.

“Esta información sugiere que los actores de amenazas patrocinados por el estado están felices de tomar prestadas herramientas entre sí y ajustarlas a sus necesidades”, dijo Group-IB.

La capacidad del actor de amenazas para refinar continuamente su conjunto de herramientas en función de sus prioridades en evolución lo convierte en un actor particularmente peligroso que opera en el área de espionaje.

“Obviamente, el grupo tiene recursos financieros considerables y lo más probable es que esté patrocinado por el estado, dado que SideWinder ha podido estar activo durante tanto tiempo, desarrollar nuevas herramientas y mantener una infraestructura de red bastante grande”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57