Un grupo vinculado a un estado-nación, conocido como SideWinder, ha sido descubierto en una nueva campaña de espionaje cibernético dirigida a puertos e instalaciones marítimas en el Océano Índico y el Mar Mediterráneo. El equipo de Investigación e Inteligencia de BlackBerry reveló que los objetivos de la campaña de spear-phishing incluyen países como Pakistán, Egipto, Sri Lanka, Bangladesh, Myanmar, Nepal y las Maldivas.
SideWinder, también conocido como APT-C-17, Baby Elephant, Hardcore Nationalist, Rattlesnake y Razor Tiger, se estima que está afiliado a India y ha estado operativo desde 2012, utilizando principalmente el spear-phishing como vector para entregar cargas maliciosas que desencadenan cadenas de ataque.
La empresa canadiense de ciberseguridad reveló que «SideWinder utiliza spear-phishing por correo electrónico, explotación de documentos y técnicas de carga lateral de DLL en un intento de evadir la detección y entregar implantes dirigidos.»
Los ataques utilizan señuelos relacionados con acoso sexual, terminación de empleados y recortes salariales para impactar negativamente al estado emocional de los destinatarios y engañarlos para abrir documentos de Microsoft Word con trampas.
Una vez que se abre el archivo señuelo, aprovecha un fallo de seguridad conocido (CVE-2017-0199) para establecer contacto con un dominio malicioso que se hace pasar por la Dirección General de Puertos y Envíos de Pakistán («reports.dgps-govtpk[.]com») para recuperar un archivo RTF.
El documento RTF, a su vez, descarga un documento que explota CVE-2017-11882, otra vulnerabilidad de seguridad antigua en el Editor de Ecuaciones de Office de Microsoft, con el objetivo de ejecutar un código de shellcode que es responsable de lanzar un código JavaScript, pero solo después de asegurarse de que el sistema comprometido sea legítimo y sea de interés para el actor de amenazas.
Actualmente no se conoce qué se entrega mediante el malware JavaScript, aunque el objetivo final probablemente sea la recopilación de inteligencia basada en campañas anteriores realizadas por SideWinder.
«El actor de amenazas SideWinder continúa mejorando su infraestructura para atacar a víctimas en nuevas regiones», dijo BlackBerry. «La evolución constante de su infraestructura de red y las cargas útiles de entrega sugieren que SideWinder continuará sus ataques en el futuro previsible.»
Vía The Hacker News
