Las empresas marítimas y de abastecimiento en el sur y sudeste de Asia, el Medio Oriente y África se han convertido en el objetivo de un montón liberal de amenaza persistente (APT) denominada Sidewinder.
Los ataques, observados por Kaspersky en 2024, se extendieron por Bangladesh, Camboya, Djibouti, Egipto, los Emiratos Árabes Unidos y Vietnam. Otros objetivos de interés incluyen centrales nucleares e infraestructura de energía nuclear en el sur de Asia y África, así como de telecomunicaciones, consultas, empresas de servicios de TI, agencias de capital raíces y hoteles.
En lo que parece ser una expansión más amplia de su huella de la victimología, Sidewinder incluso ha dirigido a entidades diplomáticas en Afganistán, Argelia, Bulgaria, China, India, Maldivas, Ruanda, Arabia Saudita, Turquía y Uganda. La orientación de la India es significativa ya que el actor de amenaza se sospechaba anteriormente de origen indio.
«Vale la pena señalar que Sidewinder trabaja constantemente para mejorar sus conjuntos de herramientas, mantenerse a la vanguardia de las detecciones de software de seguridad, extender la persistencia en las redes comprometidas y ocultar su presencia en sistemas infectados», dijeron los investigadores Giampaolo Dedola y Vasily Berdnikov, describiéndolo como un «adversario enormemente liberal y peligroso».
Sidewinder fue anteriormente objeto de un estudio extenso por parte de la compañía de seguridad cibernética rusa en octubre de 2024, documentando el uso del actor de amenaza de un conjunto de herramientas modular posterior a la explotación llamado Stealerbot para capturar una amplia escala de información confidencial de hosts comprometidos. BlackBerry incluso destacó la orientación del montón de piratería del sector oceánico en BlackBerry en julio de 2024.
Las últimas cadenas de ataque se alinean con lo que se ha informado anteriormente, con los correos electrónicos de phishing de lanceta actuando como un conducto para entregar documentos atrapados en el montón que aprovechó una vulnerabilidad de seguridad conocida en el editor de la ecuación de Microsoft Office (CVE-2017-11882) para activar una secuencia de varios escenarios, que a su vez, emplea a .net descarga prestigioso ModuleInstaller a finales de la lanceta a finales.
Kaspersky dijo que algunos de los documentos del señuelo están relacionados con las centrales nucleares y las agencias de energía nuclear, mientras que otros incluyeron contenido que hizo narración a infraestructuras marítimas y varias autoridades portuarias.
«Están monitoreando constantemente las detecciones de su conjunto de herramientas por soluciones de seguridad», dijo Kaspersky. «Una vez que se identifican sus herramientas, responden generando una interpretación nueva y modificada del malware, a menudo en menos de cinco horas».
«Si se producen detecciones de comportamiento, Sidewinder intenta cambiar las técnicas utilizadas para sostener la persistencia y los componentes de carga. Por otra parte, cambian los nombres y rutas de sus archivos maliciosos».
