Hackers atacam portos globais
30 de Julho de 2024

O ator de ameaça de origem estatal conhecido como SideWinder foi atribuído a uma nova campanha de espionagem cibernética visando portos e instalações marítimas no Oceano Índico e no Mar Mediterrâneo.

A equipe de Pesquisa e Inteligência da BlackBerry, que descobriu a atividade, disse que os alvos da campanha de spear-phishing incluem países como Paquistão, Egito, Sri Lanka, Bangladesh, Mianmar, Nepal e Maldivas.

O SideWinder, que também é conhecido pelos nomes APT-C-17, Baby Elephant, Hardcore Nationalist, Rattlesnake e Razor Tiger, é avaliado como afiliado à Índia.

Está operacional desde 2012, frequentemente utilizando spear-phishing como vetor para entregar payloads maliciosos que desencadeiam as cadeias de ataque.

"O SideWinder utiliza spear-phishing por e-mail, exploração de documentos e técnicas de side-loading de DLL numa tentativa de evitar detecção e entregar implantes direcionados", disse a empresa canadense de cibersegurança em uma análise publicada na semana passada.

O mais recente conjunto de ataques emprega iscas relacionadas a assédio sexual, demissão de funcionários e cortes de salário com o objetivo de impactar negativamente o estado emocional dos destinatários e enganá-los para abrir documentos do Microsoft Word armadilhados.

Uma vez que o arquivo isca é aberto, ele aproveita uma falha de segurança conhecida ( CVE-2017-0199 ) para estabelecer contato com um domínio malicioso que se disfarça como a Diretoria Geral de Portos e Navegação do Paquistão ("reports.dgps-govtpk[.]com") para recuperar um arquivo RTF.

O documento RTF, por sua vez, baixa um documento que explora o CVE-2017-11882 , outra vulnerabilidade de segurança antiga no Editor de Equações do Microsoft Office, com o objetivo de executar shellcode responsável por lançar código JavaScript, mas somente após garantir que o sistema comprometido é legítimo e de interesse para o ator de ameaça.

Atualmente, não se sabe o que é entregue por meio do malware JavaScript, embora o objetivo final provavelmente seja a coleta de inteligência baseada em campanhas anteriores montadas pelo SideWinder.

"O ator de ameaça SideWinder continua a aprimorar sua infraestrutura para direcionar vítimas em novas regiões", disse a BlackBerry.

A evolução constante de sua infraestrutura de rede e payloads de entrega sugere que o SideWinder continuará seus ataques no futuro previsível.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...