Hackers atacam portos globais
30 de Julho de 2024

O ator de ameaça de origem estatal conhecido como SideWinder foi atribuído a uma nova campanha de espionagem cibernética visando portos e instalações marítimas no Oceano Índico e no Mar Mediterrâneo.

A equipe de Pesquisa e Inteligência da BlackBerry, que descobriu a atividade, disse que os alvos da campanha de spear-phishing incluem países como Paquistão, Egito, Sri Lanka, Bangladesh, Mianmar, Nepal e Maldivas.

O SideWinder, que também é conhecido pelos nomes APT-C-17, Baby Elephant, Hardcore Nationalist, Rattlesnake e Razor Tiger, é avaliado como afiliado à Índia.

Está operacional desde 2012, frequentemente utilizando spear-phishing como vetor para entregar payloads maliciosos que desencadeiam as cadeias de ataque.

"O SideWinder utiliza spear-phishing por e-mail, exploração de documentos e técnicas de side-loading de DLL numa tentativa de evitar detecção e entregar implantes direcionados", disse a empresa canadense de cibersegurança em uma análise publicada na semana passada.

O mais recente conjunto de ataques emprega iscas relacionadas a assédio sexual, demissão de funcionários e cortes de salário com o objetivo de impactar negativamente o estado emocional dos destinatários e enganá-los para abrir documentos do Microsoft Word armadilhados.

Uma vez que o arquivo isca é aberto, ele aproveita uma falha de segurança conhecida ( CVE-2017-0199 ) para estabelecer contato com um domínio malicioso que se disfarça como a Diretoria Geral de Portos e Navegação do Paquistão ("reports.dgps-govtpk[.]com") para recuperar um arquivo RTF.

O documento RTF, por sua vez, baixa um documento que explora o CVE-2017-11882 , outra vulnerabilidade de segurança antiga no Editor de Equações do Microsoft Office, com o objetivo de executar shellcode responsável por lançar código JavaScript, mas somente após garantir que o sistema comprometido é legítimo e de interesse para o ator de ameaça.

Atualmente, não se sabe o que é entregue por meio do malware JavaScript, embora o objetivo final provavelmente seja a coleta de inteligência baseada em campanhas anteriores montadas pelo SideWinder.

"O ator de ameaça SideWinder continua a aprimorar sua infraestrutura para direcionar vítimas em novas regiões", disse a BlackBerry.

A evolução constante de sua infraestrutura de rede e payloads de entrega sugere que o SideWinder continuará seus ataques no futuro previsível.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...