Las empresas marítimas y de abastecimiento en el sur y sudeste de Asia, el Medio Oriente y África se han convertido en el objetivo de un agrupación liberal de amenaza persistente (APT) denominada Sidewinder.
Los ataques, observados por Kaspersky en 2024, se extendieron por Bangladesh, Camboya, Djibouti, Egipto, los Emiratos Árabes Unidos y Vietnam. Otros objetivos de interés incluyen centrales nucleares e infraestructura de energía nuclear en el sur de Asia y África, así como de telecomunicaciones, consultas, empresas de servicios de TI, agencias de intereses raíces y hoteles.
En lo que parece ser una expansión más amplia de su huella de la victimología, Sidewinder asimismo ha dirigido a entidades diplomáticas en Afganistán, Argelia, Bulgaria, China, India, Maldivas, Ruanda, Arabia Saudita, Turquía y Uganda. La orientación de la India es significativa ya que el actor de amenaza se sospechaba anteriormente de origen indio.
“Vale la pena señalar que Sidewinder trabaja constantemente para mejorar sus conjuntos de herramientas, mantenerse a la vanguardia de las detecciones de software de seguridad, extender la persistencia en las redes comprometidas y ocultar su presencia en sistemas infectados”, dijeron los investigadores Giampaolo Dedola y Vasily Berdnikov, describiéndolo como un “adversario en gran medida liberal y peligroso”.
Sidewinder fue anteriormente objeto de un investigación extenso por parte de la compañía de seguridad cibernética rusa en octubre de 2024, documentando el uso del actor de amenaza de un conjunto de herramientas modular posterior a la explotación llamado Stealerbot para capturar una amplia variedad de información confidencial de hosts comprometidos. BlackBerry asimismo destacó la orientación del agrupación de piratería del sector marino en BlackBerry en julio de 2024.
Las últimas cadenas de ataque se alinean con lo que se ha informado anteriormente, con los correos electrónicos de phishing de rejón actuando como un conducto para entregar documentos atrapados en el agrupación que aprovechó una vulnerabilidad de seguridad conocida en el editor de la ecuación de Microsoft Office (CVE-2017-11882) para activar una secuencia de varios escenarios, que a su vez, emplea a .net descarga prestigioso ModuleInstaller a finales de la rejón a finales.
Kaspersky dijo que algunos de los documentos del señuelo están relacionados con las centrales nucleares y las agencias de energía nuclear, mientras que otros incluyeron contenido que hizo narración a infraestructuras marítimas y varias autoridades portuarias.
“Están monitoreando constantemente las detecciones de su conjunto de herramientas por soluciones de seguridad”, dijo Kaspersky. “Una vez que se identifican sus herramientas, responden generando una interpretación nueva y modificada del malware, a menudo en menos de cinco horas”.
“Si se producen detecciones de comportamiento, Sidewinder intenta cambiar las técnicas utilizadas para perdurar la persistencia y los componentes de carga. Por otra parte, cambian los nombres y rutas de sus archivos maliciosos”.
