Al actor de amenazas estatal conocido como SideWinder se le ha atribuido una nueva campaña de ciberespionaje dirigida a puertos e instalaciones marítimas en el Océano Índico y el Mar Mediterráneo.
El equipo de investigación e inteligencia de BlackBerry, que descubierto La actividad dijo que los objetivos de la campaña de phishing incluyen países como Pakistán, Egipto, Sri Lanka, Bangladesh, Myanmar, Nepal y Maldivas.
Se considera que SideWinder, también conocido como APT-C-17, Baby Elephant, Hardcore Nationalist, Rattlesnake y Razor Tiger, está afiliado a la India. Ha estado operativo desde 2012 y, a menudo, utiliza el phishing como vector para entregar cargas útiles maliciosas que desencadenan cadenas de ataques.
« SideWinder utilise des techniques d’hameçonnage par courrier électronique, d’exploitation de documents et de chargement latéral de DLL pour tenter d’éviter la détection et de délivrer des implants ciblés », a déclaré la société canadienne de cybersécurité dans une analyse publiée la la semana pasada.
La última serie de ataques utiliza señuelos relacionados con el acoso sexual, despidos de empleados y recortes salariales para impactar negativamente el estado emocional de los destinatarios y engañarlos para que abran documentos de Microsoft Word con trampas explosivas.
Una vez abierto el archivo señuelo, aprovecha una vulnerabilidad de seguridad conocida (CVE-2017-0199) para establecer contacto con un dominio malicioso que se hace pasar por la Dirección General de Puertos y Transporte Marítimo de Pakistán (“reports.dgps -govtpk”).[.]com”) para recuperar un archivo RTF.
El documento RTF, a su vez, descarga un documento que explota CVE-2017-11882, otra vulnerabilidad de seguridad de años de antigüedad en el editor de ecuaciones de Microsoft Office, en un intento de ejecutar el código shell responsable de iniciar el código JavaScript, pero solo después de asegurarse de que el código comprometido el sistema es legítimo y de interés para el actor de la amenaza.
Aún no está claro qué se transmite a través del malware JavaScript, aunque es probable que el objetivo final sea la recopilación de inteligencia basada en campañas anteriores montadas por SideWinder.
“El atacante SideWinder continúa mejorando su infraestructura para atacar a sus víctimas en nuevas regiones”, dijo BlackBerry. “La continua evolución de su infraestructura de red y cargas útiles de transmisión sugiere que SideWinder continuará con sus ataques en el futuro cercano. »