Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • SideWinder APT ataca Oriente Medio y África con un sigiloso ataque en varias etapas
  • Tecnología

SideWinder APT ataca Oriente Medio y África con un sigiloso ataque en varias etapas

teknomers 19 de Ekim de 2024 (Last updated: 19 de Ekim de 2024) 5 minutes read
SideWinder APT ataca Oriente Medio y África con un sigiloso


Un actor de amenaza persistente avanzada (APT, por sus siglas en inglés) con presuntos vínculos con la India ha surgido con una serie de ataques contra entidades de alto perfil e infraestructuras estratégicas en Medio Oriente y África.

La actividad se ha atribuido a un grupo rastreado como SideWinder, que también se conoce como APT-C-17, Baby Elephant, Hardcore Nationalist, Leafperforator, Rattlesnake, Razor Tiger y T-APT-04.

“El grupo puede ser percibido como un actor poco calificado debido al uso de exploits públicos, archivos y scripts LNK maliciosos como vectores de infección y el uso de RAT públicas, pero sus verdaderas capacidades sólo se vuelven evidentes cuando se examinan cuidadosamente los detalles de sus operaciones”, afirman los investigadores de Kaspersky Giampaolo Dedola y Vasily Berdnikov dicho.

Los objetivos de los ataques incluyen entidades gubernamentales y militares, empresas de logística, infraestructura y telecomunicaciones, instituciones financieras, universidades y empresas comercializadoras de petróleo ubicadas en Bangladesh, Djibouti, Jordania, Malasia, Maldivas, Myanmar, Nepal, Pakistán, Arabia Saudita y Sri Lanka. , Turquía y los Emiratos Árabes Unidos

También se ha observado que SideWinder pone su mirada en entidades diplomáticas en Afganistán, Francia, China, India, Indonesia y Marruecos.

Ciberseguridad

El aspecto más significativo de la reciente campaña es el uso de una cadena de infección de múltiples etapas para entregar un conjunto de herramientas de post-explotación previamente desconocido llamado StealerBot.

Todo comienza con un correo electrónico de phishing con un archivo adjunto (ya sea un archivo ZIP que contiene un archivo de acceso directo de Windows (LNK) o un documento de Microsoft Office) que, a su vez, ejecuta una serie de descargadores intermedios de JavaScript y .NET para finalmente implementar el Programa malicioso StealerBot.

Los documentos se basan en la técnica probada de inyección remota de plantillas para descargar un archivo RTF que se almacena en un servidor remoto controlado por el adversario. El archivo RTF, por su parte, activa un exploit para CVE-2017-11882, para ejecutar código JavaScript que es responsable de ejecutar código JavaScript adicional alojado en mofa-gov-sa.direct888[.]neto.

Por otro lado, el archivo LNK emplea el mshta.exe utilidad, un binario nativo de Windows diseñado para ejecutar archivos de aplicaciones HTML de Microsoft (HTA), para ejecutar el mismo código JavaScript alojado en un sitio web malicioso controlado por el atacante.

El malware JavaScript sirve para extraer una cadena codificada en Base64 incrustada, una biblioteca .NET llamada “App.dll” que recopila información del sistema y funciona como un descargador para una segunda carga útil .NET desde un servidor (“ModuleInstaller.dll”).

ModuleInstaller también es un descargador, pero está equipado para mantener la persistencia en el host, ejecutar un módulo de carga de puerta trasera y recuperar componentes de la siguiente etapa. Pero en un giro interesante, la forma en que se ejecutan está determinada por la solución de seguridad de endpoints instalada en el host.

“El módulo de carga Bbckdoor se ha observado desde 2020”, dijeron los investigadores, señalando su capacidad para evadir la detección y evitar ejecutarse en entornos aislados. “Se ha mantenido casi igual a lo largo de los años”.

Ataque de varias etapas

“El atacante lo actualizó recientemente, pero la principal diferencia es que las variantes antiguas están configuradas para cargar el archivo cifrado usando un nombre de archivo específico incrustado en el programa, y ​​las últimas variantes fueron diseñadas para enumerar todos los archivos en el directorio actual y cargarlo. aquellos sin extensión.”

El objetivo final de los ataques es eliminar StealerBot a través del módulo de carga Backdoor. Descrito como un “implante modular avanzado” basado en .NET, está específicamente diseñado para facilitar las actividades de espionaje mediante la obtención de varios complementos para:

  • Instale malware adicional usando un descargador de C++
  • Capturar capturas de pantalla
  • Registrar pulsaciones de teclas
  • Robar contraseñas de navegadores
  • Interceptar credenciales RDP
  • robar archivos
  • Iniciar shell inverso
  • Credenciales de phishing de Windows y
  • Escalar privilegios sin pasar por el Control de cuentas de usuario (UAC)

“El implante consta de diferentes módulos cargados por el ‘Orquestador’ principal, que es responsable de comunicarse con el [command-and-control] y ejecutar y administrar los complementos”, dijeron los investigadores. “El Orchestrator generalmente se carga mediante el módulo de carga de puerta trasera”.

Ciberseguridad

Kaspersky dijo que detectó dos componentes del instalador, llamados InstallerPayload e InstallerPayload_NET, que no forman parte de la cadena de ataque, pero se utilizan para instalar StealerBot para probablemente actualizar a una nueva versión o infectar a otro usuario.

La expansión del alcance geográfico de SideWinder y el uso de un nuevo y sofisticado conjunto de herramientas se produce cuando la empresa de ciberseguridad Cyfirma detalla la nueva infraestructura que ejecuta Marco mítico post-explotación y vinculado a Transparent Tribe (también conocido como APT36), un actor de amenazas que se cree es de origen paquistaní.

“El grupo está distribuyendo archivos de entrada de escritorio Linux maliciosos disfrazados de PDF”, dicho. “Estos archivos ejecutan scripts para descargar y ejecutar archivos binarios maliciosos desde servidores remotos, estableciendo un acceso persistente y evadiendo la detección”.

“APT36 se dirige cada vez más a los entornos Linux debido a su uso generalizado en los sectores del gobierno indio, particularmente con el sistema operativo BOSS basado en Debian y la introducción del sistema operativo Maya”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: La muy discutida mujer trans Noa-Lynn van Leuven escribe historia; primer jugador de dardos holandés en la Copa del Mundo
Next: Reseña: Kelly Lee Owens :: ESTADO DE SUEÑO

Related Stories

Apple Watch SE 3 GPS 40 mm a 216,65 €
  • Tecnología

Apple Watch SE 3 GPS 40 mm a 216,65 € en lugar de 269 € en Teknomers

teknomers 17 de Temmuz de 2026
Lenovo presenta el primer portátil del mundo con pantalla OLED
  • Tecnología

Lenovo presenta el primer portátil del mundo con pantalla OLED / 240 Hz impresa… y por lo tanto más barato

teknomers 17 de Temmuz de 2026
Memoria DRAM: el chino CXMT alcanzará a Micron a partir
  • Tecnología

Memoria DRAM: el chino CXMT alcanzará a Micron a partir de este año

teknomers 17 de Temmuz de 2026

You May Have Missed

  • General

Cómo huelen los perros: Créelo o no, tu perro no utiliza ambas fosas nasales de la misma manera, cada una tiene una función diferente.

teknomers 17 de Temmuz de 2026
  • Finanzas

Más de 240 empleos en peligro: la Fonderie de Bretagne tiene hasta el 11 de septiembre para encontrar un comprador

teknomers 17 de Temmuz de 2026
España-Argentina: «Soy una persona epiléptica», por qué el padre de
  • Deporte

España-Argentina: «Soy una persona epiléptica», por qué el padre de Lamine Yamal no asistirá a la final de la Copa del Mundo

teknomers 17 de Temmuz de 2026
  • Deporte

Andy Flower se descarta como candidato para reemplazar a Brendon McCullum como entrenador del equipo de Test de Inglaterra

teknomers 17 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.