Un actor de amenaza persistente avanzada (APT, por sus siglas en ingl\u00e9s) con presuntos v\u00ednculos con la India ha surgido con una serie de ataques contra entidades de alto perfil e infraestructuras estrat\u00e9gicas en Medio Oriente y \u00c1frica.<\/p>\n
La actividad se ha atribuido a un grupo rastreado como SideWinder, que tambi\u00e9n se conoce como APT-C-17, Baby Elephant, Hardcore Nationalist, Leafperforator, Rattlesnake, Razor Tiger y T-APT-04.<\/p>\n
“El grupo puede ser percibido como un actor poco calificado debido al uso de exploits p\u00fablicos, archivos y scripts LNK maliciosos como vectores de infecci\u00f3n y el uso de RAT p\u00fablicas, pero sus verdaderas capacidades s\u00f3lo se vuelven evidentes cuando se examinan cuidadosamente los detalles de sus operaciones”, afirman los investigadores de Kaspersky Giampaolo Dedola y Vasily Berdnikov dicho<\/a>.<\/p>\n Los objetivos de los ataques incluyen entidades gubernamentales y militares, empresas de log\u00edstica, infraestructura y telecomunicaciones, instituciones financieras, universidades y empresas comercializadoras de petr\u00f3leo ubicadas en Bangladesh, Djibouti, Jordania, Malasia, Maldivas, Myanmar, Nepal, Pakist\u00e1n, Arabia Saudita y Sri Lanka. , Turqu\u00eda y los Emiratos \u00c1rabes Unidos<\/p>\n Tambi\u00e9n se ha observado que SideWinder pone su mirada en entidades diplom\u00e1ticas en Afganist\u00e1n, Francia, China, India, Indonesia y Marruecos.<\/p>\n El aspecto m\u00e1s significativo de la reciente campa\u00f1a es el uso de una cadena de infecci\u00f3n de m\u00faltiples etapas para entregar un conjunto de herramientas de post-explotaci\u00f3n previamente desconocido llamado StealerBot.<\/p>\n Todo comienza con un correo electr\u00f3nico de phishing con un archivo adjunto (ya sea un archivo ZIP que contiene un archivo de acceso directo de Windows (LNK) o un documento de Microsoft Office) que, a su vez, ejecuta una serie de descargadores intermedios de JavaScript y .NET para finalmente implementar el Programa malicioso StealerBot.<\/p>\n Los documentos se basan en la t\u00e9cnica probada de inyecci\u00f3n remota de plantillas para descargar un archivo RTF que se almacena en un servidor remoto controlado por el adversario. El archivo RTF, por su parte, activa un exploit para CVE-2017-11882, para ejecutar c\u00f3digo JavaScript que es responsable de ejecutar c\u00f3digo JavaScript adicional alojado en mofa-gov-sa.direct888[.]neto.<\/p>\n Por otro lado, el archivo LNK emplea el mshta.exe<\/a> utilidad, un binario nativo de Windows dise\u00f1ado para ejecutar archivos de aplicaciones HTML de Microsoft (HTA), para ejecutar el mismo c\u00f3digo JavaScript alojado en un sitio web malicioso controlado por el atacante.<\/p>\n El malware JavaScript sirve para extraer una cadena codificada en Base64 incrustada, una biblioteca .NET llamada “App.dll” que recopila informaci\u00f3n del sistema y funciona como un descargador para una segunda carga \u00fatil .NET desde un servidor (“ModuleInstaller.dll”).<\/p>\n ModuleInstaller tambi\u00e9n es un descargador, pero est\u00e1 equipado para mantener la persistencia en el host, ejecutar un m\u00f3dulo de carga de puerta trasera y recuperar componentes de la siguiente etapa. Pero en un giro interesante, la forma en que se ejecutan est\u00e1 determinada por la soluci\u00f3n de seguridad de endpoints instalada en el host.<\/p>\n “El m\u00f3dulo de carga Bbckdoor se ha observado desde 2020”, dijeron los investigadores, se\u00f1alando su capacidad para evadir la detecci\u00f3n y evitar ejecutarse en entornos aislados. “Se ha mantenido casi igual a lo largo de los a\u00f1os”.<\/p>\n “El atacante lo actualiz\u00f3 recientemente, pero la principal diferencia es que las variantes antiguas est\u00e1n configuradas para cargar el archivo cifrado usando un nombre de archivo espec\u00edfico incrustado en el programa, y \u200b\u200blas \u00faltimas variantes fueron dise\u00f1adas para enumerar todos los archivos en el directorio actual y cargarlo. aquellos sin extensi\u00f3n.”<\/p>\n El objetivo final de los ataques es eliminar StealerBot a trav\u00e9s del m\u00f3dulo de carga Backdoor. Descrito como un “implante modular avanzado” basado en .NET, est\u00e1 espec\u00edficamente dise\u00f1ado para facilitar las actividades de espionaje mediante la obtenci\u00f3n de varios complementos para:<\/p>\n “El implante consta de diferentes m\u00f3dulos cargados por el ‘Orquestador’ principal, que es responsable de comunicarse con el [command-and-control] y ejecutar y administrar los complementos”, dijeron los investigadores. “El Orchestrator generalmente se carga mediante el m\u00f3dulo de carga de puerta trasera”.<\/p>\n Kaspersky dijo que detect\u00f3 dos componentes del instalador, llamados InstallerPayload e InstallerPayload_NET, que no forman parte de la cadena de ataque, pero se utilizan para instalar StealerBot para probablemente actualizar a una nueva versi\u00f3n o infectar a otro usuario.<\/p>\n La expansi\u00f3n del alcance geogr\u00e1fico de SideWinder y el uso de un nuevo y sofisticado conjunto de herramientas se produce cuando la empresa de ciberseguridad Cyfirma detalla la nueva infraestructura que ejecuta Marco m\u00edtico post-explotaci\u00f3n<\/a> y vinculado a Transparent Tribe (tambi\u00e9n conocido como APT36), un actor de amenazas que se cree es de origen paquistan\u00ed.<\/p>\n “El grupo est\u00e1 distribuyendo archivos de entrada de escritorio Linux maliciosos disfrazados de PDF”, dicho<\/a>. “Estos archivos ejecutan scripts para descargar y ejecutar archivos binarios maliciosos desde servidores remotos, estableciendo un acceso persistente y evadiendo la detecci\u00f3n”.<\/p>\n “APT36 se dirige cada vez m\u00e1s a los entornos Linux debido a su uso generalizado en los sectores del gobierno indio, particularmente con el sistema operativo BOSS basado en Debian y la introducci\u00f3n del sistema operativo Maya”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/SideWinder-APT-ataca-Oriente-Medio-y-Africa-con-un-sigiloso.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n
<\/a><\/center><\/div>\n