Empresas de logística e marítimas situadas no Sul e Sudeste Asiático, Oriente Médio e África tornaram-se alvo de um grupo de ameaça avançada persistente (APT) conhecido como SideWinder.
Os ataques, observados pela Kaspersky em 2024, se espalharam por Bangladesh, Camboja, Djibuti, Egito, Emirados Árabes Unidos e Vietnã.
Outros alvos de interesse incluem usinas nucleares e infraestruturas de energia nuclear no Sul da Ásia e na África, bem como empresas de telecomunicações, consultoria, serviços de TI, imobiliárias e hotéis.
Parece ser uma expansão mais ampla da pegada de vitimologia, onde o SideWinder também direcionou entidades diplomáticas no Afeganistão, Argélia, Bulgária, China, Índia, Maldivas, Ruanda, Arábia Saudita, Turquia e Uganda.
A mira na Índia é significativa, já que o ator de ameaça foi anteriormente suspeito de ser de origem indiana.
"Vale ressaltar que o SideWinder trabalha constantemente para aprimorar seus conjuntos de ferramentas, permanecer à frente das detecções de softwares de segurança, estender a persistência em redes comprometidas e ocultar sua presença em sistemas infectados", disseram os pesquisadores Giampaolo Dedola e Vasily Berdnikov, descrevendo-o como um "adversário altamente avançado e perigoso".
O SideWinder foi anteriormente objeto de uma análise extensa pela empresa russa de cibersegurança em outubro de 2024, documentando o uso, pelo ator de ameaça, de um kit de ferramentas de pós-exploração modular chamado StealerBot para capturar uma ampla gama de informações sensíveis de hosts comprometidos.
O foco do grupo de hackers no setor marítimo também foi destacado pela BlackBerry em julho de 2024.
As cadeias de ataque mais recentes estão alinhadas com o que foi relatado anteriormente, com os emails de spear-phishing atuando como um conduto para entregar documentos armadilhados que exploravam uma vulnerabilidade de segurança conhecida no Microsoft Office Equation Editor (
CVE-2017-11882
) para ativar uma sequência de múltiplas etapas, que, por sua vez, emprega um downloader .NET chamado ModuleInstaller para, finalmente, lançar o StealerBot.
A Kaspersky disse que alguns dos documentos iscas estão relacionados a usinas de energia nuclear e agências de energia nuclear, enquanto outros incluíam conteúdo referenciando infraestruturas marítimas e várias autoridades portuárias.
"Eles estão constantemente monitorando as detecções de seu conjunto de ferramentas por soluções de segurança", disse a Kaspersky.
"Uma vez que suas ferramentas são identificadas, eles respondem gerando uma nova e modificada versão do malware, muitas vezes em menos de cinco horas."
"Se detecções comportamentais ocorrem, o SideWinder tenta mudar as técnicas usadas para manter a persistência e carregar componentes.
Adicionalmente, eles alteram os nomes e caminhos de seus arquivos maliciosos."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...