O ator de ameaça persistente avançada (APT) conhecido como SideWinder foi acusado de implantar uma porta dos fundos em ataques direcionados a organizações do governo do Paquistão como parte de uma campanha que começou no final de novembro de 2022.
"Nesta campanha, o grupo de ameaça persistente avançada (APT) SideWinder usou uma técnica de polimorfismo baseada em servidor para entregar o próximo payload", disse a equipe de pesquisa e inteligência da BlackBerry em um relatório técnico publicado na segunda-feira.
Outra campanha descoberta pela empresa canadense de cibersegurança no início de março de 2023 mostra que a Turquia também entrou na mira das prioridades de coleta do ator de ameaça.
SideWinder está no radar desde pelo menos 2012 e é conhecido principalmente por direcionar várias entidades do Sudeste Asiático localizadas no Paquistão, Afeganistão, Butão, China, Mianmar, Nepal e Sri Lanka.
Suspeito de ser um grupo patrocinado pelo estado indiano, SideWinder também é rastreado sob os apelidos APT-C-17, APT-Q-39, Hardcore Nationalist (HN2), Rattlesnake, Razor Tiger e T-APT4.
As sequências típicas de ataques montadas pelo ator envolvem o uso de iscas de e-mail cuidadosamente elaboradas e técnicas de carregamento lateral de DLL para voar sob o radar e implantar malware capaz de conceder acesso remoto aos atores aos sistemas visados.
No último ano, SideWinder foi vinculado a um ataque cibernético direcionado ao Colégio de Guerra da Marinha do Paquistão (PNWC), bem como a uma campanha de malware Android que alavancou aplicativos de limpeza de telefone e VPN falsos enviados para a Google Play Store para colher informações confidenciais.
A última cadeia de infecção documentada pela BlackBerry espelha descobertas da empresa chinesa de cibersegurança QiAnXin em dezembro de 2022, detalhando o uso de documentos de isca PNWC para deixar uma porta dos fundos baseada em .NET (App.dll) que é capaz de recuperar e executar malware de próxima etapa de um servidor remoto.
O que torna a campanha também distinta é o uso de polimorfismo baseado em servidor pelo ator de ameaça como uma forma de potencialmente contornar a detecção baseada em assinatura de antivírus (AV) tradicional e distribuir payloads adicionais respondendo com duas versões diferentes de um arquivo RTF intermediário.
Especificamente, o documento PNWC emprega um método conhecido como injeção de modelo remoto para buscar o arquivo RTF de modo que ele abrigue o código malicioso apenas se a solicitação originar de um usuário no intervalo de endereço IP do Paquistão.
"É importante notar que, em ambos os casos, apenas o nome do arquivo 'file.rtf' e o tipo de arquivo são os mesmos; no entanto, o conteúdo, o tamanho do arquivo e o hash do arquivo são diferentes", explicou a BlackBerry.
A divulgação chega pouco depois de a Fortinet e a Team Cymru divulgarem detalhes de ataques perpetrados pelo ator de ameaça baseado no Paquistão conhecido como SideCopy contra alvos de defesa e militares indianos.
"A mais recente campanha da SideWinder direcionada à Turquia se sobrepõe aos desenvolvimentos mais recentes na geopolítica; especificamente, no apoio da Turquia ao Paquistão e na reação resultante da Índia", disse a BlackBerry.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...