Pesquisadores descobrem a mais recente técnica de polimorfismo baseada em servidor do SideWinder
9 de Maio de 2023

O ator de ameaça persistente avançada (APT) conhecido como SideWinder foi acusado de implantar uma porta dos fundos em ataques direcionados a organizações do governo do Paquistão como parte de uma campanha que começou no final de novembro de 2022.

"Nesta campanha, o grupo de ameaça persistente avançada (APT) SideWinder usou uma técnica de polimorfismo baseada em servidor para entregar o próximo payload", disse a equipe de pesquisa e inteligência da BlackBerry em um relatório técnico publicado na segunda-feira.

Outra campanha descoberta pela empresa canadense de cibersegurança no início de março de 2023 mostra que a Turquia também entrou na mira das prioridades de coleta do ator de ameaça.

SideWinder está no radar desde pelo menos 2012 e é conhecido principalmente por direcionar várias entidades do Sudeste Asiático localizadas no Paquistão, Afeganistão, Butão, China, Mianmar, Nepal e Sri Lanka.

Suspeito de ser um grupo patrocinado pelo estado indiano, SideWinder também é rastreado sob os apelidos APT-C-17, APT-Q-39, Hardcore Nationalist (HN2), Rattlesnake, Razor Tiger e T-APT4.

As sequências típicas de ataques montadas pelo ator envolvem o uso de iscas de e-mail cuidadosamente elaboradas e técnicas de carregamento lateral de DLL para voar sob o radar e implantar malware capaz de conceder acesso remoto aos atores aos sistemas visados.

No último ano, SideWinder foi vinculado a um ataque cibernético direcionado ao Colégio de Guerra da Marinha do Paquistão (PNWC), bem como a uma campanha de malware Android que alavancou aplicativos de limpeza de telefone e VPN falsos enviados para a Google Play Store para colher informações confidenciais.

A última cadeia de infecção documentada pela BlackBerry espelha descobertas da empresa chinesa de cibersegurança QiAnXin em dezembro de 2022, detalhando o uso de documentos de isca PNWC para deixar uma porta dos fundos baseada em .NET (App.dll) que é capaz de recuperar e executar malware de próxima etapa de um servidor remoto.

O que torna a campanha também distinta é o uso de polimorfismo baseado em servidor pelo ator de ameaça como uma forma de potencialmente contornar a detecção baseada em assinatura de antivírus (AV) tradicional e distribuir payloads adicionais respondendo com duas versões diferentes de um arquivo RTF intermediário.

Especificamente, o documento PNWC emprega um método conhecido como injeção de modelo remoto para buscar o arquivo RTF de modo que ele abrigue o código malicioso apenas se a solicitação originar de um usuário no intervalo de endereço IP do Paquistão.

"É importante notar que, em ambos os casos, apenas o nome do arquivo 'file.rtf' e o tipo de arquivo são os mesmos; no entanto, o conteúdo, o tamanho do arquivo e o hash do arquivo são diferentes", explicou a BlackBerry.

A divulgação chega pouco depois de a Fortinet e a Team Cymru divulgarem detalhes de ataques perpetrados pelo ator de ameaça baseado no Paquistão conhecido como SideCopy contra alvos de defesa e militares indianos.

"A mais recente campanha da SideWinder direcionada à Turquia se sobrepõe aos desenvolvimentos mais recentes na geopolítica; especificamente, no apoio da Turquia ao Paquistão e na reação resultante da Índia", disse a BlackBerry.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...