Aktor ancaman persisten tingkat lanjut (APT) yang diduga memiliki hubungan dengan India telah melancarkan serangkaian serangan terhadap entitas penting dan infrastruktur strategis di Timur Tengah dan Afrika.
Kegiatan tersebut telah dikaitkan dengan kelompok yang dilacak sebagai SideWinder, yang juga dikenal sebagai APT-C-17, Baby Elephant, Hardcore Nationalist, Leafperforator, Rattlesnake, Razor Tiger, dan T-APT-04.
“Kelompok ini mungkin dianggap sebagai aktor berketerampilan rendah karena penggunaan eksploitasi publik, file dan skrip LNK berbahaya sebagai vektor infeksi, dan penggunaan RAT publik, namun kemampuan mereka yang sebenarnya hanya akan terlihat ketika Anda memeriksa detailnya dengan cermat. operasi mereka,” kata peneliti Kaspersky Giampaolo Dedola dan Vasily Berdnikov.
Sasaran serangan termasuk entitas pemerintah dan militer, perusahaan logistik, infrastruktur dan telekomunikasi, lembaga keuangan, universitas, dan perusahaan perdagangan minyak yang berlokasi di Bangladesh, Djibouti, Yordania, Malaysia, Maladewa, Myanmar, Nepal, Pakistan, Arab Saudi, Sri Lanka , Turki, dan UEA
SideWinder juga terlihat mengincar entitas diplomatik di Afghanistan, Prancis, Tiongkok, India, india, dan Maroko.
Aspek paling signifikan dari kampanye baru-baru ini adalah penggunaan rantai infeksi multi-tahap untuk menghasilkan perangkat pasca-eksploitasi yang sebelumnya tidak dikenal yang disebut StealerBot.
Semuanya dimulai dengan email spear-phishing dengan lampiran – baik arsip ZIP yang berisi file pintasan Windows (LNK) atau dokumen Microsoft Office – yang, pada gilirannya, mengeksekusi serangkaian pengunduh JavaScript dan .NET perantara untuk akhirnya menyebarkan email tersebut. Perangkat lunak perusak StealerBot.
Dokumen-dokumen tersebut mengandalkan teknik injeksi templat jarak jauh yang telah dicoba dan diuji untuk mengunduh file RTF yang disimpan di server jarak jauh yang dikendalikan musuh. File RTF, pada bagiannya, memicu eksploitasi untuk CVE-2017-11882, untuk mengeksekusi kode JavaScript yang bertanggung jawab untuk menjalankan kode JavaScript tambahan yang dihosting di mofa-gov-sa.direct888[.]bersih.
Di sisi lain, file LNK menggunakan utilitas mshta.exe, biner asli Windows yang dirancang untuk mengeksekusi file Aplikasi HTML Microsoft (HTA), untuk menjalankan kode JavaScript yang sama yang dihosting di situs web jahat yang dikendalikan oleh penyerang.
Malware JavaScript berfungsi untuk mengekstrak string berkode Base64 yang tertanam, perpustakaan .NET bernama “App.dll” yang mengumpulkan informasi sistem dan berfungsi sebagai pengunduh untuk muatan .NET kedua dari server (“ModuleInstaller.dll”).
ModuleInstaller juga merupakan pengunduh, namun dilengkapi untuk menjaga persistensi pada host, menjalankan modul pemuat pintu belakang, dan mengambil komponen tahap berikutnya. Namun menariknya, cara menjalankannya ditentukan oleh solusi keamanan titik akhir yang diinstal pada host.
“Modul pemuat Bbckdoor telah diamati sejak tahun 2020,” kata para peneliti, menunjukkan kemampuannya untuk menghindari deteksi dan menghindari pengoperasian di lingkungan kotak pasir. “Hampir tetap sama selama bertahun-tahun.”
“Baru-baru ini diperbarui oleh penyerang, namun perbedaan utamanya adalah varian lama dikonfigurasi untuk memuat file terenkripsi menggunakan nama file tertentu yang tertanam dalam program, dan varian terbaru dirancang untuk menghitung semua file di direktori saat ini dan memuat yang tanpa perpanjangan.”
Tujuan akhir dari serangan ini adalah untuk menjatuhkan StealerBot melalui modul pemuat Backdoor. Digambarkan sebagai “implan modular canggih” berbasis .NET, implan ini secara khusus ditujukan untuk memfasilitasi aktivitas spionase dengan mengambil beberapa plugin untuk –
- Instal malware tambahan menggunakan pengunduh C++
- Ambil tangkapan layar
- Catat penekanan tombol
- Curi kata sandi dari browser
- Cegat kredensial RDP
- Mencuri file
- Mulai shell terbalik
- Kredensial Phish Windows, dan
- Tingkatkan hak istimewa dengan melewati Kontrol Akun Pengguna (UAC)
“Implan terdiri dari modul berbeda yang dimuat oleh 'Orchestrator' utama, yang bertanggung jawab untuk berkomunikasi dengan [command-and-control] dan mengeksekusi serta mengelola plugin,” kata para peneliti. “Orchestrator biasanya dimuat oleh modul backdoor loader.”
Kaspersky mengatakan pihaknya mendeteksi dua komponen penginstal – bernama InstallerPayload dan InstallerPayload_NET – yang tidak ditampilkan sebagai bagian dari rantai serangan, namun digunakan untuk menginstal StealerBot untuk kemungkinan memperbarui ke versi baru atau menginfeksi pengguna lain.
Perluasan jangkauan geografis SideWinder dan penggunaan perangkat canggih baru terjadi ketika perusahaan keamanan siber Cyfirma merinci infrastruktur baru yang menjalankan kerangka kerja pasca-eksploitasi Mythic dan terkait dengan Suku Transparan (alias APT36), aktor ancaman yang diyakini berasal dari Pakistan.
“Kelompok ini mendistribusikan file entri desktop Linux berbahaya yang disamarkan sebagai PDF,” katanya. “File-file ini menjalankan skrip untuk mengunduh dan menjalankan biner berbahaya dari server jarak jauh, membangun akses terus-menerus dan menghindari deteksi.”
“APT36 semakin menargetkan lingkungan Linux karena penggunaannya secara luas di sektor pemerintahan India, khususnya dengan OS BOSS berbasis Debian dan diperkenalkannya OS Maya.”
