0
0
[Este artigo foi atualizado em 17/02/2023 com correções para um nome de variante de malware, bem como detalhes de airdrop e como o SideWinder está usando iscas de criptomoeda]
Os pesquisadores vincularam o escorregadio SideWinder APT a duas campanhas maliciosas – uma em 2020 e outra em 2021 – que adicionam mais volume a uma onda de ataques atribuída ao prolífico agente de ameaças nos últimos anos e demonstram quão extenso é seu arsenal de táticas e ferramentas. é.
Um relatório publicado esta semana pelo Group-IB vincula o SideWinder (também conhecido como Cascavel ou T-APT4) a um conhecido ataque de 2020 ao governo das Maldivas, bem como a uma série anteriormente desconhecida de operações de phishing que visavam organizações no Afeganistão, Butão, Mianmar e Nepal , e Sri Lanka entre junho e novembro de 2021.
As descobertas mostram que o grupo lançou uma rede muito mais ampla do que se pensava anteriormente, usando um tesouro de ferramentas, incluindo cavalos de Tróia de acesso remoto (RATs) não identificados anteriormente, backdoors, shells reversos e stagers. A investigação dos pesquisadores sobre esses ataques também liga o grupo a outros APTs conhecidos, incluindo Baby Elephant – que pode ser o próprio SideWinder – e Donot APT, disseram eles.
O relatório também lança mais luz sobre a natureza geograficamente dispersa das operações do grupo, com pesquisadores descobrindo endereços IP controlados pela SideWinder localizados na Holanda, Alemanha, França, Moldávia e Rússia, disseram os pesquisadores.
O SideWinder, ativo desde 2012, foi detectado pela Kaspersky no primeiro trimestre de 2018 e pensado para atingir principalmente a infraestrutura militar do Paquistão. No entanto, este último relatório mostra que o alcance do grupo – que se acredita estar associado aos interesses de espionagem da Índia – é muito mais amplo do que isso.
“O SideWinder tem atacado sistematicamente organizações governamentais no sul e no leste da Ásia para fins de espionagem há cerca de 10 anos”, escreveu Dmitry Kupin, analista sênior de malware da equipe de inteligência de ameaças do Group-IB, no relatório.
Especificamente, os pesquisadores identificaram mais de 60 alvos – incluindo órgãos governamentais, organizações militares, agências policiais, bancos centrais, telecomunicações, mídia, organizações políticas e muito mais – da campanha de phishing recém-identificada. Os alvos estão localizados em vários países, incluindo Afeganistão, Butão, Mianmar, Nepal e Sri Lanka.
Recursos sofisticados de phishing
Os ataques de phishing – nos quais o SideWinder se faz passar por entidades conhecidas na tentativa de atrair as vítimas – também demonstraram quão vasta é sua infraestrutura de phishing, disseram os pesquisadores. Isso faz sentido, já que o spear phishing tem sido o método de acesso inicial do grupo, disseram eles.
As descobertas de phishing, que não confirmaram se o SideWinder foi bem-sucedido em suas tentativas de comprometer as vítimas, também revelam algo anteriormente desconhecido sobre o grupo: um interesse em atacar criptomoedas.
Nos ataques de phishing entre junho de 2021 e novembro de 2021, o grupo se fez passar pelo Banco Central de Mianmar, usando um site em seu arsenal que imita a instituição financeira, bem como um sistema de pagamento sem contato da Internet das Coisas (IoT) usado na Índia chamado Nucleus Vision, também conhecido como Nitro Network.
As campanhas também são notáveis porque demonstram o interesse da SideWinder na indústria criptográfica. Os invasores tentaram roubar as credenciais do usuário imitando um airdrop da criptografia NCASH, disseram os pesquisadores. O NCASH é usado como meio de pagamento no ecossistema Nucleus Vision, que as lojas de varejo na Índia têm usado, disseram eles.
Especificamente, os pesquisadores descobriram um link de phishing relacionado a um airdrop de criptomoeda, disseram eles. Quando os usuários visitavam o link (http://5[.]2[.]79[.]135/project/project/index.html), eles eram solicitados a se registrar para participar de um airdrop e receber tokens, embora não foi especificado quais. Ao pressionar o botão “Enviar detalhes”, o usuário ativa um script login.php, que os pesquisadores acreditam que o grupo está usando para desenvolver ainda mais esse vetor de ataque.
Ferramentas e Telegrama
O Group-IB também descobriu um tesouro de ferramentas personalizadas usadas pelo SideWinder, apenas algumas das quais foram descritas publicamente antes, desenvolvidas em várias linguagens de programação, incluindo C++, C#, Go, Python (script compilado) e VBScript.
Parte desse arsenal é a mais nova ferramenta personalizada do grupo, SideWinder.StealerPy, um ladrão de informações escrito em Python e usado em ataques de phishing documentados anteriormente contra organizações paquistanesas.
O script pode extrair o histórico de navegação da vítima do Google Chrome, credenciais salvas no navegador, a lista de pastas no diretório, bem como metainformações e conteúdo de arquivos .docx, .pdf e .txt. É uma parte fundamental da notoriedade do grupo por conduzir “centenas de operações de espionagem em um curto espaço de tempo”, escreveu Kupin.
Outra e talvez a “descoberta mais interessante” em relação ao arsenal de ferramentas do SideWinder foram amostras de RAT que usavam o aplicativo de mensagens Telegram como um canal para receber os resultados de comandos de malware e, assim, recuperar dados roubados de sistemas comprometidos, observou Kupin.
Essa tática está se tornando cada vez mais uma marca registrada de muitos atores de ameaças avançadas, disse ele.
Como evitar o SideWinder
O relatório inclui uma vasta gama de indicadores de comprometimento, bem como URLs associados a ataques SideWinder.
Como muitos outros grupos APT, o SideWinder depende do spear-phishing direcionado como vetor de ataque inicial, é importante que as organizações “configuram soluções de proteção de e-mail comercial capazes de detonar anexos maliciosos em um ambiente virtual isolado”, disse Kupin a Dark Reading. As empresas também devem fazer testes de penetração de engenharia social para que os funcionários possam reconhecer rapidamente os e-mails de phishing que chegam às caixas de entrada, acrescenta.
As organizações sob risco do SideWinder também devem monitorar continuamente a atividade de rede dentro do perímetro da organização, empregando soluções gerenciadas de detecção e resposta estendida (MXDR) que são atualizadas regularmente com novos indicadores e regras de rede, diz Kupin.
FONTE: DARK READING