Ataques do Grupo SideWinder Avançam Globalmente
11 de Março de 2025

Empresas de logística e marítimas situadas no Sul e Sudeste Asiático, Oriente Médio e África tornaram-se alvo de um grupo de ameaça avançada persistente (APT) conhecido como SideWinder.

Os ataques, observados pela Kaspersky em 2024, se espalharam por Bangladesh, Camboja, Djibuti, Egito, Emirados Árabes Unidos e Vietnã.

Outros alvos de interesse incluem usinas nucleares e infraestruturas de energia nuclear no Sul da Ásia e na África, bem como empresas de telecomunicações, consultoria, serviços de TI, imobiliárias e hotéis.

Parece ser uma expansão mais ampla da pegada de vitimologia, onde o SideWinder também direcionou entidades diplomáticas no Afeganistão, Argélia, Bulgária, China, Índia, Maldivas, Ruanda, Arábia Saudita, Turquia e Uganda.

A mira na Índia é significativa, já que o ator de ameaça foi anteriormente suspeito de ser de origem indiana.

"Vale ressaltar que o SideWinder trabalha constantemente para aprimorar seus conjuntos de ferramentas, permanecer à frente das detecções de softwares de segurança, estender a persistência em redes comprometidas e ocultar sua presença em sistemas infectados", disseram os pesquisadores Giampaolo Dedola e Vasily Berdnikov, descrevendo-o como um "adversário altamente avançado e perigoso".

O SideWinder foi anteriormente objeto de uma análise extensa pela empresa russa de cibersegurança em outubro de 2024, documentando o uso, pelo ator de ameaça, de um kit de ferramentas de pós-exploração modular chamado StealerBot para capturar uma ampla gama de informações sensíveis de hosts comprometidos.

O foco do grupo de hackers no setor marítimo também foi destacado pela BlackBerry em julho de 2024.

As cadeias de ataque mais recentes estão alinhadas com o que foi relatado anteriormente, com os emails de spear-phishing atuando como um conduto para entregar documentos armadilhados que exploravam uma vulnerabilidade de segurança conhecida no Microsoft Office Equation Editor ( CVE-2017-11882 ) para ativar uma sequência de múltiplas etapas, que, por sua vez, emprega um downloader .NET chamado ModuleInstaller para, finalmente, lançar o StealerBot.

A Kaspersky disse que alguns dos documentos iscas estão relacionados a usinas de energia nuclear e agências de energia nuclear, enquanto outros incluíam conteúdo referenciando infraestruturas marítimas e várias autoridades portuárias.

"Eles estão constantemente monitorando as detecções de seu conjunto de ferramentas por soluções de segurança", disse a Kaspersky.

"Uma vez que suas ferramentas são identificadas, eles respondem gerando uma nova e modificada versão do malware, muitas vezes em menos de cinco horas."

"Se detecções comportamentais ocorrem, o SideWinder tenta mudar as técnicas usadas para manter a persistência e carregar componentes.

Adicionalmente, eles alteram os nomes e caminhos de seus arquivos maliciosos."

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...