{"id":1065,"date":"2023-02-15T14:41:35","date_gmt":"2023-02-15T17:41:35","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=1065"},"modified":"2023-10-16T18:08:34","modified_gmt":"2023-10-16T21:08:34","slug":"sidewinder-apt-00000000000000000000001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/sidewinder-apt-00000000000000000000001\/","title":{"rendered":"SideWinder APT dirigida a m\u00e1s de 60 empresas"},"content":{"rendered":"

Group-IB, ha documentado operaciones de phishing no denunciadas anteriormente realizadas por el actor de SideWinder APT<\/h2>\n

 <\/p>\n

Los atacantes intentaron apuntar a 61 gobiernos, organizaciones militares, policiales y de otro tipo en Afganist\u00e1n, But\u00e1n, Myanmar, Nepal y Sri Lanka.<\/p>\n

El equipo de inteligencia de amenazas de Group-IB tambi\u00e9n pudo atribuir un ataque de 2020 contra el gobierno de Maldivas al grupo SideWinder APT.<\/p>\n

Encontr\u00f3 evidencia que confirma el inter\u00e9s de SideWinder en la criptomoneda.<\/p>\n

Al igual que muchos otros actores de amenazas avanzadas, SideWinder comenz\u00f3 a usar la aplicaci\u00f3n de mensajer\u00eda Telegram para recibir informaci\u00f3n de redes comprometidas.<\/p>\n

En un nuevo informe de amenazas “Vieja serpiente, nueva piel: an\u00e1lisis de la actividad de SideWinder APT entre junio y noviembre de 2021”.<\/p>\n

Los investigadores del Grupo-IB confirmaron por primera vez los v\u00ednculos entre los grupos SideWinder, Baby Elephant y Donot APT y describieron todo el arsenal del grupo de ciberespionaje, incluidas herramientas reci\u00e9n descubiertas.<\/p>\n

El nuevo informe de Group-IB contiene reglas YARA para cazar al grupo y una tabla con los TTP (T\u00e1cticas, T\u00e9cnicas y Procedimientos) del grupo mapeados a la matriz MITRE ATT&CK.<\/p>\n

Proporcionando toda la informaci\u00f3n que las empresas y organizaciones necesitaban para actualizar sus controles de seguridad para detectar SideWinder APT.<\/p>\n

R\u00e1pido y venenoso<\/h3>\n

SideWinder APT, tambi\u00e9n conocido como Rattlesnake, Hardcore Nationalist (HN2) y T-APT4, es uno de los actores de amenazas de estado-naci\u00f3n m\u00e1s antiguos que se cree que se origin\u00f3 en la India.<\/p>\n

El grupo ha estado realizando ataques de espionaje cibern\u00e9tico contra organizaciones gubernamentales en la regi\u00f3n de Asia y el Pac\u00edfico desde al menos 2012.<\/p>\n

En junio de 2022, Group-IB descubri\u00f3 la herramienta personalizada m\u00e1s nueva del grupo, SideWinder.AntiBot.Script, que se utiliz\u00f3 en phishing previamente documentado. ataques contra organizaciones paquistan\u00edes.<\/p>\n

SideWinder APT se destaca por su capacidad para realizar cientos de operaciones de espionaje en un corto per\u00edodo de tiempo.<\/p>\n

Durante las operaciones proactivas de b\u00fasqueda de amenazas, el equipo de inteligencia de amenazas de Group-IB descubri\u00f3 archivos de respaldo en la infraestructura atribuidos a SideWinder APT .<\/p>\n

Uno de los archivos de 2021 conten\u00eda varios proyectos de phishing dise\u00f1ados para apuntar a agencias gubernamentales en el sudeste asi\u00e1tico, entre los que se encontraban sitios web falsos que imitaban al Banco Central de Myanmar.<\/p>\n

Seg\u00fan la fecha en que se editaron las p\u00e1ginas de phishing relacionadas, el equipo de Group-IB pudo reconstruir una l\u00ednea de tiempo aproximada de las operaciones de phishing de SideWinder entre junio y noviembre de 2021.<\/p>\n

A medida que el equipo de Group-IB recuper\u00f3 los recursos de phishing de un archivo de copia de seguridad , existe la posibilidad de que los ataques de SideWinder hayan comenzado antes.<\/p>\n

Un an\u00e1lisis m\u00e1s detallado de la infraestructura maliciosa de SideWinder permiti\u00f3 al equipo de Group-IB compilar una lista de los 61 objetivos potenciales del grupo.<\/p>\n

El cual incluye organizaciones gubernamentales, militares, financieras, policiales, pol\u00edticas, de telecomunicaciones y de medios en Afganist\u00e1n, But\u00e1n, Myanmar, Nepal, y Sri Lanka.<\/p>\n

No se sabe si alguna de estas campa\u00f1as de phishing tuvo \u00e9xito.<\/p>\n

Curiosamente, los analistas de Group-IB descubrieron dos proyectos de phishing que imitan a las empresas criptogr\u00e1ficas.<\/p>\n

El creciente inter\u00e9s de SideWinder APT en las criptomonedas podr\u00eda estar relacionado con los recientes intentos de regular el mercado de las criptomonedas en la India.<\/p>\n

\"Sidewinder<\/a>
Sidewinder APT Mapa de campa\u00f1a<\/figcaption><\/figure>\n

Spear phishing ha sido durante mucho tiempo el principal vector de ataque inicial del grupo. La v\u00edctima recibe un correo electr\u00f3nico de phishing que contiene una URL o un archivo adjunto malicioso. Luego, la URL descarga un documento malicioso, un archivo LNK o una carga \u00fatil maliciosa. El archivo LNK descarga un archivo HTA, que a su vez descarga la carga \u00fatil. La carga \u00fatil puede ser un shell inverso, un troyano de acceso remoto (RAT) o un ladr\u00f3n de informaci\u00f3n.<\/p>\n

\"Vectores<\/a>
Vectores iniciales de SideWinder APT<\/figcaption><\/figure>\n

Entre las herramientas reci\u00e9n descubiertas estaban SideWinder.RAT.b (un troyano de acceso remoto) y SideWinder.StealerPy, un ladr\u00f3n de informaci\u00f3n personalizado escrito en Python dise\u00f1ado para filtrar la informaci\u00f3n recopilada de la computadora de la v\u00edctima.<\/p>\n

La herramienta puede extraer el historial de navegaci\u00f3n de una v\u00edctima de Google Chrome, las credenciales guardadas en el navegador.<\/p>\n

La lista de carpetas en el directorio, as\u00ed como la metainformaci\u00f3n y el contenido de los archivos docx, pdf y txt, etc.<\/p>\n

Curiosamente, ambas muestras de malware utilizan la aplicaci\u00f3n de mensajer\u00eda Telegram para recibir datos de m\u00e1quinas comprometidas.<\/p>\n

Una tendencia cada vez m\u00e1s com\u00fan entre los grupos APT y los ciberdelincuentes con motivaci\u00f3n financiera durante el \u00faltimo a\u00f1o.<\/p>\n

Los atacantes avanzados han comenzado a preferir Telegram a los servidores tradicionales de comando y control debido a su conveniencia.<\/p>\n

Recopilar y monitorear informaci\u00f3n sobre la infraestructura de los atacantes en Telegram es esencial para garantizar la protecci\u00f3n de los activos digitales.<\/p>\n

Con base en las muestras de malware del grupo y los IOC de red extra\u00eddos de ellos durante el an\u00e1lisis, los investigadores de Group-IB construyeron<\/p>\n

un diagrama de la infraestructura de red de SideWinder por primera vez.<\/p>\n

La descripci\u00f3n de todo el arsenal del grupo tambi\u00e9n se puede encontrar en el informe \u201cVieja serpiente, nueva piel: An\u00e1lisis de la actividad de SideWinder APT entre junio y noviembre de 2021\u201d.<\/p>\n

Crisol<\/p>\n

Gracias a la herramienta Graph Network Analysis patentada de Group-IB, los investigadores de Group-IB pudieron identificar una gran infraestructura de red utilizada por SideWinder.<\/p>\n

Las superposiciones entre los servidores de comando y control, as\u00ed como entre las herramientas, llevaron al equipo de Group-IB a concluir que BabyElephant y SideWinder APT son probablemente las mismas APT,<\/p>\n

O en su defecto ambas est\u00e1n estrechamente relacionadas.<\/p>\n

\u201cNo es raro que los grupos APT tomen prestadas herramientas entre s\u00ed, lo que a menudo conduce a errores en la atribuci\u00f3n\u201d, dice Dmitry Kupin, analista senior de malware de Group-IB<\/a><\/strong>.<\/p>\n

\u201cComo tal, descubrimos que algunos indicadores de compromiso relacionados con otro grupo APT, Donot, se atribuyeron err\u00f3neamente a SideWinder APT.<\/p>\n

No obstante, encontramos evidencia adicional que confirma que Patchwork (Hangover), Donot y SideWinder a veces toman prestadas herramientas y documentos maliciosos entre s\u00ed y los ajustan a sus necesidades\u201d.<\/p>\n

\"\"<\/a>El informe “Old Snake, New Skin: an\u00e1lisis de la actividad de SideWinder APT entre junio y noviembre de 2021” est\u00e1 destinado principalmente a expertos en ciberseguridad.<\/p>\n

Como tambi\u00e9n a analistas de malware, SOC, MDR, especialistas en inteligencia de amenazas y b\u00fasqueda de amenazas, equipos de respuesta a incidentes y administradores de sistemas de ciberseguridad en organizaciones privadas y gubernamentales.<\/p>\n

Marcelo Lozano – GeneralPublisher IT Connect Latam<\/strong><\/p>\n

Lea m\u00e1s sobre ciberseguridad en<\/p>\n

Ciberdelincuentes reclutan a los mejores profesionales 2023<\/a><\/p>\n

Bar\u00f3metro de riesgos 2023 de Allianz<\/a><\/p>\n

Amenazas Biom\u00e9tricas: iProov present\u00f3 informe 2023<\/a><\/p>\n

Carrera de Grado en Ciberseguridad 2023 GRATIS!<\/a><\/p>\n

Hive 2023: el FBI desarma grupo cibercriminal peligroso<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Group-IB, ha documentado operaciones de phishing no denunciadas anteriormente realizadas por el actor de SideWinder APT   Los atacantes intentaron apuntar a 61 gobiernos, organizaciones militares, policiales y de otro tipo en Afganist\u00e1n, But\u00e1n, Myanmar, Nepal y Sri Lanka. El equipo de inteligencia de amenazas de Group-IB tambi\u00e9n pudo atribuir un ataque de 2020 contra […]<\/p>\n","protected":false},"author":2,"featured_media":1071,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"default","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[58],"tags":[236,537],"class_list":["post-1065","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-group-ib","tag-sidewinder-apt"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/1065","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/comments?post=1065"}],"version-history":[{"count":5,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/1065\/revisions"}],"predecessor-version":[{"id":4222,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/1065\/revisions\/4222"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media\/1071"}],"wp:attachment":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media?parent=1065"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/categories?post=1065"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/tags?post=1065"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}