Group-IB, ha documentado operaciones de phishing no denunciadas anteriormente realizadas por el actor de SideWinder APT
Los atacantes intentaron apuntar a 61 gobiernos, organizaciones militares, policiales y de otro tipo en Afganistán, Bután, Myanmar, Nepal y Sri Lanka.
El equipo de inteligencia de amenazas de Group-IB también pudo atribuir un ataque de 2020 contra el gobierno de Maldivas al grupo SideWinder APT.
Encontró evidencia que confirma el interés de SideWinder en la criptomoneda.
Al igual que muchos otros actores de amenazas avanzadas, SideWinder comenzó a usar la aplicación de mensajería Telegram para recibir información de redes comprometidas.
En un nuevo informe de amenazas “Vieja serpiente, nueva piel: análisis de la actividad de SideWinder APT entre junio y noviembre de 2021”.
Los investigadores del Grupo-IB confirmaron por primera vez los vínculos entre los grupos SideWinder, Baby Elephant y Donot APT y describieron todo el arsenal del grupo de ciberespionaje, incluidas herramientas recién descubiertas.
El nuevo informe de Group-IB contiene reglas YARA para cazar al grupo y una tabla con los TTP (Tácticas, Técnicas y Procedimientos) del grupo mapeados a la matriz MITRE ATT&CK.
Proporcionando toda la información que las empresas y organizaciones necesitaban para actualizar sus controles de seguridad para detectar SideWinder APT.
Rápido y venenoso
SideWinder APT, también conocido como Rattlesnake, Hardcore Nationalist (HN2) y T-APT4, es uno de los actores de amenazas de estado-nación más antiguos que se cree que se originó en la India.
El grupo ha estado realizando ataques de espionaje cibernético contra organizaciones gubernamentales en la región de Asia y el Pacífico desde al menos 2012.
En junio de 2022, Group-IB descubrió la herramienta personalizada más nueva del grupo, SideWinder.AntiBot.Script, que se utilizó en phishing previamente documentado. ataques contra organizaciones paquistaníes.
SideWinder APT se destaca por su capacidad para realizar cientos de operaciones de espionaje en un corto período de tiempo.
Durante las operaciones proactivas de búsqueda de amenazas, el equipo de inteligencia de amenazas de Group-IB descubrió archivos de respaldo en la infraestructura atribuidos a SideWinder APT .
Uno de los archivos de 2021 contenía varios proyectos de phishing diseñados para apuntar a agencias gubernamentales en el sudeste asiático, entre los que se encontraban sitios web falsos que imitaban al Banco Central de Myanmar.
Según la fecha en que se editaron las páginas de phishing relacionadas, el equipo de Group-IB pudo reconstruir una línea de tiempo aproximada de las operaciones de phishing de SideWinder entre junio y noviembre de 2021.
A medida que el equipo de Group-IB recuperó los recursos de phishing de un archivo de copia de seguridad , existe la posibilidad de que los ataques de SideWinder hayan comenzado antes.
Un análisis más detallado de la infraestructura maliciosa de SideWinder permitió al equipo de Group-IB compilar una lista de los 61 objetivos potenciales del grupo.
El cual incluye organizaciones gubernamentales, militares, financieras, policiales, políticas, de telecomunicaciones y de medios en Afganistán, Bután, Myanmar, Nepal, y Sri Lanka.
No se sabe si alguna de estas campañas de phishing tuvo éxito.
Curiosamente, los analistas de Group-IB descubrieron dos proyectos de phishing que imitan a las empresas criptográficas.
El creciente interés de SideWinder APT en las criptomonedas podría estar relacionado con los recientes intentos de regular el mercado de las criptomonedas en la India.
Spear phishing ha sido durante mucho tiempo el principal vector de ataque inicial del grupo. La víctima recibe un correo electrónico de phishing que contiene una URL o un archivo adjunto malicioso. Luego, la URL descarga un documento malicioso, un archivo LNK o una carga útil maliciosa. El archivo LNK descarga un archivo HTA, que a su vez descarga la carga útil. La carga útil puede ser un shell inverso, un troyano de acceso remoto (RAT) o un ladrón de información.
Entre las herramientas recién descubiertas estaban SideWinder.RAT.b (un troyano de acceso remoto) y SideWinder.StealerPy, un ladrón de información personalizado escrito en Python diseñado para filtrar la información recopilada de la computadora de la víctima.
La herramienta puede extraer el historial de navegación de una víctima de Google Chrome, las credenciales guardadas en el navegador.
La lista de carpetas en el directorio, así como la metainformación y el contenido de los archivos docx, pdf y txt, etc.
Curiosamente, ambas muestras de malware utilizan la aplicación de mensajería Telegram para recibir datos de máquinas comprometidas.
Una tendencia cada vez más común entre los grupos APT y los ciberdelincuentes con motivación financiera durante el último año.
Los atacantes avanzados han comenzado a preferir Telegram a los servidores tradicionales de comando y control debido a su conveniencia.
Recopilar y monitorear información sobre la infraestructura de los atacantes en Telegram es esencial para garantizar la protección de los activos digitales.
Con base en las muestras de malware del grupo y los IOC de red extraídos de ellos durante el análisis, los investigadores de Group-IB construyeron
un diagrama de la infraestructura de red de SideWinder por primera vez.
La descripción de todo el arsenal del grupo también se puede encontrar en el informe “Vieja serpiente, nueva piel: Análisis de la actividad de SideWinder APT entre junio y noviembre de 2021”.
Crisol
Gracias a la herramienta Graph Network Analysis patentada de Group-IB, los investigadores de Group-IB pudieron identificar una gran infraestructura de red utilizada por SideWinder.
Las superposiciones entre los servidores de comando y control, así como entre las herramientas, llevaron al equipo de Group-IB a concluir que BabyElephant y SideWinder APT son probablemente las mismas APT,
O en su defecto ambas están estrechamente relacionadas.
“No es raro que los grupos APT tomen prestadas herramientas entre sí, lo que a menudo conduce a errores en la atribución”, dice Dmitry Kupin, analista senior de malware de Group-IB.
“Como tal, descubrimos que algunos indicadores de compromiso relacionados con otro grupo APT, Donot, se atribuyeron erróneamente a SideWinder APT.
No obstante, encontramos evidencia adicional que confirma que Patchwork (Hangover), Donot y SideWinder a veces toman prestadas herramientas y documentos maliciosos entre sí y los ajustan a sus necesidades”.
El informe “Old Snake, New Skin: análisis de la actividad de SideWinder APT entre junio y noviembre de 2021” está destinado principalmente a expertos en ciberseguridad.
Como también a analistas de malware, SOC, MDR, especialistas en inteligencia de amenazas y búsqueda de amenazas, equipos de respuesta a incidentes y administradores de sistemas de ciberseguridad en organizaciones privadas y gubernamentales.
Marcelo Lozano – GeneralPublisher IT Connect Latam
Lea más sobre ciberseguridad en
Ciberdelincuentes reclutan a los mejores profesionales 2023
Barómetro de riesgos 2023 de Allianz
Amenazas Biométricas: iProov presentó informe 2023