Un actor de amenaza persistente avanzada (APT, por sus siglas en inglés) con presuntos vínculos con la India ha surgido con una serie de ataques contra entidades de alto perfil e infraestructuras estratégicas en Medio Oriente y África.
La actividad se ha atribuido a un grupo rastreado como SideWinder, que también se conoce como APT-C-17, Baby Elephant, Hardcore Nationalist, Leafperforator, Rattlesnake, Razor Tiger y T-APT-04.
“El grupo puede ser percibido como un actor poco calificado debido al uso de exploits públicos, archivos y scripts LNK maliciosos como vectores de infección y el uso de RAT públicas, pero sus verdaderas capacidades sólo se vuelven evidentes cuando se examinan cuidadosamente los detalles de sus operaciones”, afirman los investigadores de Kaspersky Giampaolo Dedola y Vasily Berdnikov dicho.
Los objetivos de los ataques incluyen entidades gubernamentales y militares, empresas de logística, infraestructura y telecomunicaciones, instituciones financieras, universidades y empresas comercializadoras de petróleo ubicadas en Bangladesh, Djibouti, Jordania, Malasia, Maldivas, Myanmar, Nepal, Pakistán, Arabia Saudita y Sri Lanka. , Turquía y los Emiratos Árabes Unidos
También se ha observado que SideWinder pone su mirada en entidades diplomáticas en Afganistán, Francia, China, India, Indonesia y Marruecos.
El aspecto más significativo de la reciente campaña es el uso de una cadena de infección de múltiples etapas para entregar un conjunto de herramientas de post-explotación previamente desconocido llamado StealerBot.
Todo comienza con un correo electrónico de phishing con un archivo adjunto (ya sea un archivo ZIP que contiene un archivo de acceso directo de Windows (LNK) o un documento de Microsoft Office) que, a su vez, ejecuta una serie de descargadores intermedios de JavaScript y .NET para finalmente implementar el Programa malicioso StealerBot.
Los documentos se basan en la técnica probada de inyección remota de plantillas para descargar un archivo RTF que se almacena en un servidor remoto controlado por el adversario. El archivo RTF, por su parte, activa un exploit para CVE-2017-11882, para ejecutar código JavaScript que es responsable de ejecutar código JavaScript adicional alojado en mofa-gov-sa.direct888[.]neto.
Por otro lado, el archivo LNK emplea el mshta.exe utilidad, un binario nativo de Windows diseñado para ejecutar archivos de aplicaciones HTML de Microsoft (HTA), para ejecutar el mismo código JavaScript alojado en un sitio web malicioso controlado por el atacante.
El malware JavaScript sirve para extraer una cadena codificada en Base64 incrustada, una biblioteca .NET llamada “App.dll” que recopila información del sistema y funciona como un descargador para una segunda carga útil .NET desde un servidor (“ModuleInstaller.dll”).
ModuleInstaller también es un descargador, pero está equipado para mantener la persistencia en el host, ejecutar un módulo de carga de puerta trasera y recuperar componentes de la siguiente etapa. Pero en un giro interesante, la forma en que se ejecutan está determinada por la solución de seguridad de endpoints instalada en el host.
“El módulo de carga Bbckdoor se ha observado desde 2020”, dijeron los investigadores, señalando su capacidad para evadir la detección y evitar ejecutarse en entornos aislados. “Se ha mantenido casi igual a lo largo de los años”.
“El atacante lo actualizó recientemente, pero la principal diferencia es que las variantes antiguas están configuradas para cargar el archivo cifrado usando un nombre de archivo específico incrustado en el programa, y las últimas variantes fueron diseñadas para enumerar todos los archivos en el directorio actual y cargarlo. aquellos sin extensión.”
El objetivo final de los ataques es eliminar StealerBot a través del módulo de carga Backdoor. Descrito como un “implante modular avanzado” basado en .NET, está específicamente diseñado para facilitar las actividades de espionaje mediante la obtención de varios complementos para:
- Instale malware adicional usando un descargador de C++
- Capturar capturas de pantalla
- Registrar pulsaciones de teclas
- Robar contraseñas de navegadores
- Interceptar credenciales RDP
- robar archivos
- Iniciar shell inverso
- Credenciales de phishing de Windows y
- Escalar privilegios sin pasar por el Control de cuentas de usuario (UAC)
“El implante consta de diferentes módulos cargados por el ‘Orquestador’ principal, que es responsable de comunicarse con el [command-and-control] y ejecutar y administrar los complementos”, dijeron los investigadores. “El Orchestrator generalmente se carga mediante el módulo de carga de puerta trasera”.
Kaspersky dijo que detectó dos componentes del instalador, llamados InstallerPayload e InstallerPayload_NET, que no forman parte de la cadena de ataque, pero se utilizan para instalar StealerBot para probablemente actualizar a una nueva versión o infectar a otro usuario.
La expansión del alcance geográfico de SideWinder y el uso de un nuevo y sofisticado conjunto de herramientas se produce cuando la empresa de ciberseguridad Cyfirma detalla la nueva infraestructura que ejecuta Marco mítico post-explotación y vinculado a Transparent Tribe (también conocido como APT36), un actor de amenazas que se cree es de origen paquistaní.
“El grupo está distribuyendo archivos de entrada de escritorio Linux maliciosos disfrazados de PDF”, dicho. “Estos archivos ejecutan scripts para descargar y ejecutar archivos binarios maliciosos desde servidores remotos, estableciendo un acceso persistente y evadiendo la detección”.
“APT36 se dirige cada vez más a los entornos Linux debido a su uso generalizado en los sectores del gobierno indio, particularmente con el sistema operativo BOSS basado en Debian y la introducción del sistema operativo Maya”.