30 de julio de 2024Ravie LakshmananCiberespionaje / Malware El actor de amenazas de estado nación conocido como SideWinder ha sido atribuido a una nueva campaña de ciberespionaje dirigida a puertos e instalaciones marítimas en el Océano Índico y el Mar Mediterráneo. El Equipo de Investigación e Inteligencia de BlackBerry, que descubrió la actividad, dijo que los objetivos de la campaña de phishing selectivo incluyen países como Pakistán, Egipto, Sri Lanka, Bangladesh, Myanmar, Nepal y las Maldivas. Se estima que SideWinder, que también se conoce con los nombres APT-C-17, Baby Elephant, Hardcore Nationalist, Rattlesnake y Razor Tiger, está afiliado a la India. Ha estado operativo desde 2012, a menudo haciendo uso del phishing selectivo como vector para entregar cargas útiles maliciosas que desencadenan las cadenas de ataque. «SideWinder hace uso de técnicas de phishing selectivo por correo electrónico, explotación de documentos y carga lateral de DLL en un intento de evitar la detección y entregar implantes específicos», dijo la empresa canadiense de ciberseguridad en un análisis publicado la semana pasada. El último conjunto de ataques emplea señuelos relacionados con el acoso sexual, el despido de empleados y los recortes salariales para afectar negativamente el estado emocional de los destinatarios y engañarlos para que abran documentos de Microsoft Word con trampas explosivas. Una vez que se abre el archivo señuelo, aprovecha una falla de seguridad conocida (CVE-2017-0199) para establecer contacto con un dominio malicioso que se hace pasar por la Dirección General de Puertos y Transporte Marítimo de Pakistán («reports.dgps-govtpk»).[.]com») para recuperar un archivo RTF. El documento RTF, a su vez, descarga un documento que explota CVE-2017-11882, otra vulnerabilidad de seguridad de hace años en el Editor de ecuaciones de Microsoft Office, con el objetivo de ejecutar el shellcode que es responsable de lanzar el código JavaScript, pero solo después de asegurarse de que el sistema comprometido es legítimo y es de interés para el actor de la amenaza. Actualmente no se sabe qué se entrega por medio del malware JavaScript, aunque es probable que el objetivo final sea la recopilación de inteligencia basada en campañas anteriores montadas por SideWinder. «El actor de amenazas SideWinder continúa mejorando su infraestructura para apuntar a víctimas en nuevas regiones», dijo BlackBerry. «La evolución constante de su infraestructura de red y cargas útiles de entrega sugiere que SideWinder continuará con sus ataques en el futuro previsible». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.