Le aziende marittime e logistiche nel Sud e Sud-Est asiatico, Medio Oriente e Africa sono diventate il bersaglio di un gruppo di minaccia persistente avanzata (APT) noto come SideWinder. Gli attacchi, osservati da Kaspersky nel 2024, si sono diffusi in Bangladesh, Cambogia, Gibuti, Egitto, Emirati Arabi Uniti e Vietnam. Altri obiettivi di interesse includono centrali nucleari e infrastrutture energetiche nucleari in Asia meridionale e Africa, oltre a società di telecomunicazioni, consulenza, servizi IT, agenzie immobiliari e hotel.
In un’espansione più ampia del suo raggio d’azione, SideWinder ha preso di mira anche entità diplomatiche in Afghanistan, Algeria, Bulgaria, Cina, India, Maldive, Ruanda, Arabia Saudita, Turchia e Uganda. Il targeting dell’India è significativo poiché l’attore della minaccia era precedentemente sospettato di essere di origine indiana.
“Vale la pena notare che SideWinder lavora costantemente per migliorare i suoi strumenti, rimanere avanti rispetto alle rilevazioni dei software di sicurezza, estendere la persistenza nelle reti compromesse e nascondere la sua presenza nei sistemi infetti,” hanno affermato i ricercatori Giampaolo Dedola e Vasily Berdnikov, descrivendolo come un “avversario altamente avanzato e pericoloso”.
SideWinder è stato precedentemente oggetto di un’analisi approfondita da parte della società di cybersecurity russa nell’ottobre 2024, documentando l’uso da parte dell’attore della minaccia di un toolkit modulare post-sfruttamento chiamato StealerBot per catturare una vasta gamma di informazioni sensibili dagli host compromessi. Il targeting del settore marittimo da parte del gruppo di hacking è stato anche evidenziato da BlackBerry nel luglio 2024.
Le ultime catene di attacco si allineano con quanto riportato in precedenza, con le email di spear-phishing che fungono da condotto per consegnare documenti trappola che sfruttano una vulnerabilità di sicurezza nota nell’Editor di Equazioni di Microsoft Office (CVE-2017-11882) per attivare una sequenza multi-stadio, che a sua volta, impiega un downloader .NET chiamato ModuleInstaller per lanciare infine StealerBot.
Kaspersky ha affermato che alcuni dei documenti esca sono relativi a centrali nucleari e agenzie energetiche nucleari, mentre altri includevano contenuti che fanno riferimento a infrastrutture marittime e varie autorità portuali.
“Monitorano costantemente le rilevazioni del loro set di strumenti da parte delle soluzioni di sicurezza,” ha detto Kaspersky. “Una volta che i loro strumenti vengono identificati, rispondono generando una nuova e modificata versione del malware, spesso in meno di cinque ore.”
“Se si verificano rilevazioni comportamentali, SideWinder cerca di cambiare le tecniche utilizzate per mantenere la persistenza e caricare i componenti. Inoltre, cambiano i nomi e i percorsi dei loro file dannosi.”
Fonte: The Hackers News
