Los investigadores de seguridad de Kaspersky Lab descubrieron que la funcionalidad del grupo SideWinder Advanced Persistent Threat (APT) se ha ampliado significativamente.
En un informe publicado el 15 de octubre de 2024, Kaspersky informó que SideWinder ha desarrollado un nuevo conjunto de herramientas posteriores a la explotación llamado “StealerBot” para mejorar sus esfuerzos de espionaje.
Se cree que SideWinder, también conocido como Rattlesnake o T-APT-04, es un grupo de piratería respaldado por el gobierno indio que ha estado activo desde 2012.
Históricamente, el grupo se ha dirigido principalmente a agencias militares y gubernamentales en países del sur y sudeste asiático, como Pakistán, Sri Lanka y Nepal.
Analiza archivos sospechosos con ANY.RUN: Intergarte With You Security Team -> Pruébalo gratis
SideWinder con nuevo kit de herramientas post-explotación
Sin embargo, según la última investigación de Kaspersky Lab, SideWinder ha ampliado su alcance y ahora está impactando a empresas prominentes e infraestructura estratégica en Medio Oriente y África.
Esta expansión geográfica representa un cambio significativo en la estrategia de focalización del grupo. El StealerBot recientemente descubierto se describe como un implante modular avanzado diseñado específicamente para el espionaje.
Los investigadores de Kaspersky creen que esto se convirtió en la principal herramienta posterior a la explotación de SideWinder contra objetivos específicos.
Este kit de herramientas puede instalar malware adicional, capturar capturas de pantalla, registrar pulsaciones de teclas, robar contraseñas de navegadores, interceptar credenciales RDP, filtrar archivos e incluso eludir el Control de cuentas de usuario (UAC). Contiene varios módulos que pueden realizar escalada de privilegios, etc.
La cadena de infección SideWinder generalmente comienza con un correo electrónico de phishing que contiene un archivo ZIP que contiene un documento malicioso de Microsoft Office o un archivo LNK.
Estos vectores de infección iniciales aprovechan vulnerabilidades conocidas, como CVE-2017-11882, para implementar descargadores de JavaScript y .NET de varias etapas, lo que en última instancia conduce a la instalación de StealerBot.
El grupo también ha perfeccionado su infraestructura con numerosos dominios, incluidos subdominios creados para imitar sitios web gubernamentales y corporativos legítimos. Esta táctica ayuda a disfrazar las comunicaciones maliciosas como tráfico legítimo.
SideWinder ha sido visto durante mucho tiempo como un atacante relativamente no calificado debido a su dependencia de exploits y herramientas disponibles públicamente, pero el análisis de Kaspersky Lab muestra que las verdaderas capacidades del grupo son más avanzadas de lo que habían sido anteriormente.
El desarrollo y la expansión de objetivos de StealerBot representan una evolución significativa en las tácticas, técnicas y procedimientos (TTP) de APT.
Las revelaciones se producen en medio de crecientes preocupaciones sobre el ciberespionaje patrocinado por el Estado. A principios de este año, investigadores del Grupo IB y Zscaler ya habían notado un aumento en la actividad de SideWinder, incluido el uso de una nueva puerta trasera llamada “WarHawk”.
La comunidad de ciberseguridad insta a las organizaciones, especialmente aquellas en regiones recientemente atacadas, a permanecer alerta e implementar medidas de seguridad sólidas para protegerse contra la amenaza en evolución de SideWinder.
A medida que los actores estatales continúan mejorando sus herramientas y ampliando su alcance, la necesidad de capacidades avanzadas de detección de amenazas y respuesta contra objetivos potenciales en todos los sectores se vuelve cada vez más importante.
Cómo elegir la solución SIEM administrada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)