Um actor de ameaça persistente avançada (APT) com suspeitas de ligações à Índia surgiu com uma série de ataques contra entidades de alto perfil e infra-estruturas estratégicas no Médio Oriente e em África.
A atividade foi atribuída a um grupo rastreado como SideWinder, também conhecido como APT-C-17, Child Elephant, Hardcore Nationalist, Leafperforator, Rattlesnake, Razor Tiger e T-APT-04.
“O grupo pode ser visto como um ator pouco qualificado devido ao uso de explorações públicas, arquivos e scripts LNK maliciosos como vetores de infecção e ao uso de RATs públicos, mas suas verdadeiras capacidades só se tornam aparentes quando você examina cuidadosamente os detalhes de suas operações”, disseram os pesquisadores da Kaspersky, Giampaolo Dedola e Vasily Berdnikov.
Os alvos dos ataques incluem entidades governamentais e militares, empresas de logística, infraestrutura e telecomunicações, instituições financeiras, universidades e empresas de comércio de petróleo localizadas em Bangladesh, Djibuti, Jordânia, Malásia, Maldivas, Mianmar, Nepal, Paquistão, Arábia Saudita, Sri Lanka. , Turquia e Emirados Árabes Unidos
SideWinder também foi observado visando entidades diplomáticas no Afeganistão, França, China, Índia, Indonésia e Marrocos.
O aspecto mais significativo da campanha recente é o uso de uma cadeia de infecção em vários estágios para fornecer um package de ferramentas pós-exploração até então desconhecido, chamado StealerBot.
Tudo começa com um e-mail de spearphishing com um anexo – seja um arquivo ZIP contendo um arquivo de atalho do Home windows (LNK) ou um documento do Microsoft Workplace – que, por sua vez, executa uma série de downloaders intermediários de JavaScript e .NET para finalmente implantar o Malware StealerBot.
Os documentos contam com a técnica testada e comprovada de injeção remota de modelo para baixar um arquivo RTF armazenado em um servidor remoto controlado pelo adversário. O arquivo RTF, por sua vez, desencadeia uma exploração para CVE-2017-11882, para executar código JavaScript responsável pela execução de código JavaScript adicional hospedado em mofa-gov-sa.direct888(.)web.
Por outro lado, o arquivo LNK emprega o utilitário mshta.exe, um binário nativo do Home windows projetado para executar arquivos Microsoft HTML Software (HTA), para executar o mesmo código JavaScript hospedado em um website malicioso controlado pelo invasor.
O malware JavaScript serve para extrair uma string codificada em Base64 incorporada, uma biblioteca .NET chamada “App.dll” que coleta informações do sistema e funciona como um downloader para uma segunda carga .NET de um servidor (“ModuleInstaller.dll”).
ModuleInstaller também é um downloader, mas está equipado para manter a persistência no host, executar um módulo backdoor loader e recuperar componentes do próximo estágio. Mas, em uma reviravolta interessante, a maneira como eles são executados é determinada pela solução de segurança de endpoint instalada no host.
“O módulo carregador Bbckdoor tem sido observado desde 2020”, disseram os pesquisadores, apontando sua capacidade de escapar da detecção e evitar a execução em ambientes sandbox. “Permaneceu quase o mesmo ao longo dos anos.”
“Ele foi atualizado recentemente pelo invasor, mas a principal diferença é que as variantes antigas são configuradas para carregar o arquivo criptografado usando um nome de arquivo específico incorporado no programa, e as variantes mais recentes foram projetadas para enumerar todos os arquivos no diretório atual e carregar aqueles sem extensão.”
O objetivo closing dos ataques é eliminar o StealerBot por meio do módulo carregador Backdoor. Descrito como um “implante modular avançado” baseado em .NET, ele é especificamente voltado para facilitar atividades de espionagem, buscando vários plug-ins para –
- Instale malware adicional usando um downloader C++
- Capturar capturas de tela
- Registrar pressionamentos de teclas
- Roubar senhas de navegadores
- Interceptar credenciais RDP
- Roubar arquivos
- Iniciar shell reverso
- Phish credenciais do Home windows e
- Escale privilégios ignorando o Controle de Conta de Usuário (UAC)
“O implante consiste em diferentes módulos carregados pelo ‘Orquestrador’ principal, que é responsável pela comunicação com o (comando e controle) e pela execução e gerenciamento dos plugins”, disseram os pesquisadores. “O Orchestrator geralmente é carregado pelo módulo backdoor loader.”
A Kaspersky disse que detectou dois componentes do instalador – chamados InstallerPayload e InstallerPayload_NET – que não fazem parte da cadeia de ataque, mas são usados para instalar o StealerBot para provavelmente atualizar para uma nova versão ou infectar outro usuário.
A expansão do alcance geográfico do SideWinder e o uso de um novo package de ferramentas sofisticado ocorre no momento em que a empresa de segurança cibernética Cyfirma detalha a nova infraestrutura que executa a estrutura pós-exploração Mythic e está vinculada ao Clear Tribe (também conhecido como APT36), um ator de ameaça que se acredita ser de origem paquistanesa.
“O grupo está distribuindo arquivos maliciosos de entrada de desktop Linux disfarçados de PDFs”, afirmou. “Esses arquivos executam scripts para baixar e executar binários maliciosos de servidores remotos, estabelecendo acesso persistente e evitando a detecção”.
“O APT36 está cada vez mais direcionado aos ambientes Linux devido ao seu uso generalizado nos setores governamentais indianos, particularmente com o sistema operacional BOSS baseado em Debian e a introdução do sistema operacional Maya.”