El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha detectado que el grupo APT SideWinder está expandiendo sus operaciones de ataque hacia Oriente Medio y África, utilizando un conjunto de herramientas de espionaje desconocido hasta ahora, llamado ‘StealerBot’. Como parte de su monitorización continua de actividades APT, Kaspersky descubrió que las campañas recientes estaban dirigidas a entidades de alto perfil e infraestructuras estratégicas en estas regiones, mientras que la campaña en general permanece activa y puede tener como objetivo a otras víctimas.
SideWinder, también conocido como T-APT-04 o RattleSnake, es uno de los grupos APT más prolíficos que comenzó sus operaciones en 2012. A lo largo de los años, ha atacado principalmente a entidades militares y gubernamentales en Pakistán, Sri Lanka, China y Nepal, así como a otros sectores y países en el sur y sureste de Asia. Recientemente, Kaspersky ha observado nuevas oleadas de ataques que se han expandido para afectar a entidades de alto perfil e infraestructuras estratégicas en Oriente Medio y África.
Además de la expansión geográfica, Kaspersky ha descubierto que SideWinder está utilizando un conjunto de herramientas de post-explotación desconocido hasta ahora llamado ‘StealerBot’. Este es un implante modular avanzado diseñado específicamente para actividades de espionaje, y actualmente utilizado por el grupo como la herramienta principal de post-explotación.
“StealerBot es una herramienta de espionaje sigilosa que permite a los actores de amenazas espiar sistemas mientras evita ser detectada fácilmente. Opera a través de una estructura modular, con cada componente diseñado para realizar una función específica. En particular, estos módulos nunca aparecen como archivos en el disco duro del sistema, lo que dificulta su rastreo. En su lugar, se cargan directamente en la memoria. En el núcleo de StealerBot se encuentra el ‘Orchestrator’, que supervisa toda la operación, se comunica con el servidor de mando y control del actor de la amenaza y coordina la ejecución de sus diversos módulos”, afirma Giampaolo Dedola, analista principal de seguridad en GReAT.
Durante su última investigación, Kaspersky observó que StealerBot realiza una variedad de actividades maliciosas, como la instalación de malware adicional, captura de pantallas, registro de pulsaciones de teclas, robo de contraseñas de navegadores, interceptación de credenciales protocolo de escritorio Remoto (RDP, por sus siglas en inglés), exfiltración de archivos y más.
Kaspersky informó por primera vez sobre las actividades de este grupo en 2018. Se sabe que este actor confía en correos electrónicos de spear-phishing como su principal método de infección, que contienen documentos maliciosos que explotan vulnerabilidades de Office y, ocasionalmente, hacen uso de archivos LNK, HTML y HTA que se encuentran en archivos comprimidos. Los documentos a menudo contienen información obtenida de páginas web públicas, que se utiliza para atraer a la víctima a abrir el archivo y creer que es legítimo. Kaspersky ha observado el uso de varias familias de malware en campañas paralelas, tanto RAT personalizadas como modificadas y disponibles públicamente.
Para mitigar las amenazas relacionadas con la actividad de APT, Kaspersky recomienda equipar a los expertos en seguridad de la información de su organización con los últimos conocimientos y detalles técnicos de Kaspersky Threat Intelligence. Para una inmersión más profunda en el mundo en constante evolución de las ciberamenazas y hacer networking, únete a la 16ª Security Analyst Summit (SAS) de Kaspersky, que se llevará a cabo del 22 al 25 de octubre de 2024 en Bali.
Encuentra más información en Securelist.
