O ator de ameaça de origem estatal conhecido como SideWinder foi atribuído a uma nova campanha de espionagem cibernética visando portos e instalações marítimas no Oceano Índico e no Mar Mediterrâneo.
A equipe de Pesquisa e Inteligência da BlackBerry, que descobriu a atividade, disse que os alvos da campanha de spear-phishing incluem países como Paquistão, Egito, Sri Lanka, Bangladesh, Mianmar, Nepal e Maldivas.
O SideWinder, que também é conhecido pelos nomes APT-C-17, Baby Elephant, Hardcore Nationalist, Rattlesnake e Razor Tiger, é avaliado como afiliado à Índia.
Está operacional desde 2012, frequentemente utilizando spear-phishing como vetor para entregar payloads maliciosos que desencadeiam as cadeias de ataque.
"O SideWinder utiliza spear-phishing por e-mail, exploração de documentos e técnicas de side-loading de DLL numa tentativa de evitar detecção e entregar implantes direcionados", disse a empresa canadense de cibersegurança em uma análise publicada na semana passada.
O mais recente conjunto de ataques emprega iscas relacionadas a assédio sexual, demissão de funcionários e cortes de salário com o objetivo de impactar negativamente o estado emocional dos destinatários e enganá-los para abrir documentos do Microsoft Word armadilhados.
Uma vez que o arquivo isca é aberto, ele aproveita uma falha de segurança conhecida (
CVE-2017-0199
) para estabelecer contato com um domínio malicioso que se disfarça como a Diretoria Geral de Portos e Navegação do Paquistão ("reports.dgps-govtpk[.]com") para recuperar um arquivo RTF.
O documento RTF, por sua vez, baixa um documento que explora o
CVE-2017-11882
, outra vulnerabilidade de segurança antiga no Editor de Equações do Microsoft Office, com o objetivo de executar shellcode responsável por lançar código JavaScript, mas somente após garantir que o sistema comprometido é legítimo e de interesse para o ator de ameaça.
Atualmente, não se sabe o que é entregue por meio do malware JavaScript, embora o objetivo final provavelmente seja a coleta de inteligência baseada em campanhas anteriores montadas pelo SideWinder.
"O ator de ameaça SideWinder continua a aprimorar sua infraestrutura para direcionar vítimas em novas regiões", disse a BlackBerry.
A evolução constante de sua infraestrutura de rede e payloads de entrega sugere que o SideWinder continuará seus ataques no futuro previsível.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...