SideWinder APT ha lanciato una serie di attacchi sofisticati contro entità di alto profilo e infrastrutture strategiche in Medio Oriente e Africa, mostrando una capacità di attacco che va oltre la percezione di un gruppo con abilità modeste. Questo gruppo, noto anche come APT-C-17 e con altri soprannomi come Baby Elephant e Razor Tiger, ha concentrato i suoi attacchi su vari settori, tra cui enti governativi e militari, aziende di logistica, infrastrutture e telecomunicazioni, istituzioni finanziarie, università e compagnie di commercio del petrolio. I paesi colpiti includono Bangladesh, Giordania, Malesia, Maldive, Myanmar, Nepal, Pakistan, Arabia Saudita, Sri Lanka, Turchia e gli Emirati Arabi Uniti, con attenzioni rivolte anche a entità diplomatiche in Afghanistan, Francia, Cina, India, Indonesia e Marocco.

Catena di Infezione

Il tratto distintivo della recente campagna di SideWinder è l'uso di una catena di infezione a più stadi per distribuire un toolkit di post-sfruttamento mai visto prima, chiamato StealerBot. Gli attacchi iniziano con email di spear-phishing contenenti allegati infetti, come archivi ZIP con file di collegamento Windows (LNK) o documenti Microsoft Office. Questi file eseguono downloader intermedi basati su JavaScript e .NET, che alla fine distribuiscono il malware StealerBot. Il metodo utilizzato sfrutta l'iniezione di template remoto per scaricare un file RTF che, a sua volta, attiva un exploit per CVE-2017-11882, eseguendo codice JavaScript aggiuntivo da un server remoto controllato dall'attaccante.

Metodo di Attacco

Il file LNK sfrutta un'utilità nativa di Windows, mshta.exe, per eseguire codice JavaScript da un sito web malevolo controllato dall'attaccante. Questo codice estrae una stringa codificata in Base64, una libreria .NET chiamata "App.dll", che raccoglie informazioni di sistema e funge da downloader per un ulteriore payload .NET dal server ("ModuleInstaller.dll"). ModuleInstaller è progettato per mantenere la persistenza sul sistema ospite, eseguire un modulo di caricamento di backdoor e recuperare componenti di fase successiva, adattandosi alla soluzione di sicurezza installata sul sistema.

Obiettivo Finale

Il modulo di caricamento di backdoor è stato osservato dal 2020 e presenta capacità di evasione di rilevamento migliorate. L'obiettivo finale degli attacchi è distribuire StealerBot tramite il modulo di caricamento di backdoor. StealerBot, descritto come un impianto modulare avanzato basato su .NET, facilita attività di spionaggio raccogliendo plugin per installare malware aggiuntivo, catturare schermate, registrare tasti, rubare password dai browser, intercettare credenziali RDP, rubare file, avviare una shell inversa, phishing delle credenziali di Windows ed elevare i privilegi bypassando il Controllo Account Utente (UAC).

Componenti di Installazione

Gli esperti hanno identificato due componenti di installazione, InstallerPayload e InstallerPayload_NET, che non fanno parte della catena di attacco ma vengono utilizzati per installare StealerBot, probabilmente per aggiornare a una nuova versione o infettare un altro utente. Questo ampliamento dell'ambito geografico di SideWinder e l'uso di un nuovo toolkit sofisticato coincidono con le attività di un altro attore minaccioso, APT36, che prende di mira gli ambienti Linux, particolarmente diffusi nel settore governativo indiano.