El nuevo ciberataque Sidewinder apunta a instalaciones marítimas en varios países


30 de julio de 2024Ravie Lakshmanan Ciberespionaje/Malware

Se ha descubierto que un actor de amenazas de estado-nación conocido como SideWinder está involucrado en una nueva campaña de ciberespionaje dirigida a puertos e instalaciones marítimas en el Océano Índico y el Mar Mediterráneo.

Los objetivos de los ataques de phishing incluyen países como Pakistán, Egipto, Sri Lanka, Bangladesh, Myanmar, Nepal y las Maldivas, según el equipo de investigación e inteligencia de BlackBerry, que descubrió la actividad.

SideWinder, también conocido como APT-C-17, Baby Elephant, Hardcore Nationalist, Rattlesnake y Razor Tiger, parece tener vínculos con la India. Ha estado activo desde 2012 y, a menudo, utiliza el phishing como medio para entregar cargas útiles maliciosas que desencadenan cadenas de ataques.

“Sidewinder utiliza técnicas de phishing por correo electrónico, abuso de documentos y descarga de DLL para evadir la detección y entregar implantes dirigidos”, dijo la firma canadiense de ciberseguridad en un comunicado publicado la semana pasada como se indica en el análisis.

Una serie reciente de ataques utiliza señuelos relacionados con el acoso sexual, despidos de empleados y recortes salariales para intentar afectar negativamente las emociones de los destinatarios y convencerlos de que abran un documento de Microsoft Word atrapado.

Una vez abierto, el archivo señuelo aprovecha una falla de seguridad conocida (CVE-2017-0199) para comunicarse con un dominio malicioso que se hace pasar por la Dirección General de Puertos y Transporte de Pakistán (“reports.dgps-govtpk”).[.]com) para obtener el archivo RTF.

Luego, el documento RTF descarga un documento que explota CVE-2017-11882, otra vulnerabilidad de seguridad de años en Microsoft Office Equation Editor. Su propósito es ejecutar shellcode que lanza código JavaScript solo después de verificar que el sistema comprometido es legítimo y de interés para el actor de la amenaza.

Actualmente se desconoce qué transmite el malware JavaScript, pero es probable que su objetivo final sea la recopilación de información basada en campañas anteriores realizadas por SideWinder.

“Los atacantes de SideWinder continúan mejorando su infraestructura para apuntar a víctimas en nuevas geografías”, dijo BlackBerry. “Dado que la infraestructura de red y las cargas útiles de entrega evolucionan constantemente, esperamos que SideWinder continúe con sus ataques en el futuro previsible”.

¿Te pareció interesante este artículo?sígueme Gorjeo  Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.




Fuente: https://thehackernews.com/2024/07/new-sidewinder-cyber-attacks-target.html