Técnica de polimorfismo é usada para instalar backdoor

Da Redação
09/05/2023

O grupo de ameaça persistente avançada (APT) conhecido como SideWinder foi acusado de implantar uma backdoor em ataques direcionados contra órgãos governamentais do Paquistão como parte de uma campanha iniciada no final de novembro do ano passado.

“Nessa campanha, o SideWinder usou uma técnica de polimorfismo baseada em servidor para fornecer a carga útil de próximo estágio”, disse a equipe da BlackBerry Research & Intelligence em um relatório técnico publicado na segunda-feira, 8.

Outra campanha descoberta pela empresa canadense de segurança cibernética no início de março mostra que a Turquia também entrou na mira das prioridades de coleta do grupo.

O SideWinder está no radar desde ao menos 2012 e é conhecido principalmente por ter como alvo várias entidades do Sudeste Asiático localizadas no Paquistão, Afeganistão, Butão, China, Mianmar, Nepal e Sri Lanka. Mas não é descartada a possibilidade de já estar atuando em outras regiões do mundo, como América do Norte, Europa e América Latina.

Suspeito de ser patrocinado pelo governo indiano, o grupo também é rastreado sob os apelidos APT-C-17, APT-Q-39, Hardcore Nationalist (HN2), Rattlesnake, Razor Tiger e T-APT4.

As sequências de ataque típicas montadas pelo grupo envolvem o uso de iscas de e-mail cuidadosamente elaboradas e técnicas de carregamento lateral de DLL (Dynamic-link library)  para “voar sob o radar” e implantar malware capaz de conceder aos hackers acesso remoto aos sistemas visados.

No ano passado, o SideWinder foi vinculado a um ataque cibernético direcionado ao Pakistan Navy War College (PNWC), bem como a uma campanha de malware para Android que utilizou “limpadores” de telefone e aplicativos VPN carregados na Google Play Store para coletar informações confidenciais.

A cadeia de infecção mais recente documentada pela BlackBerry reflete as descobertas da empresa chinesa de segurança cibernética QiAnXin em dezembro do ano passado, detalhando o uso de documentos de atração do PNWC para lançar uma backdoor baseado em .NET (App.dll) que é capaz de recuperar e executar malware de próximo estágio de um servidor remoto.

O que destaca a campanha também é o uso do polimorfismo baseado em servidor pelo grupo como uma forma de contornar a detecção antivírus (AV) tradicional baseada em assinatura e distribuir cargas adicionais respondendo com duas versões diferentes de um arquivo RTF intermediário.

Veja isso
Ataque atinge rede da Força Aérea Paquistanesa
Dark Pink atinge Ásia-Pacífico e Europa com spear phishing

Especificamente, o documento PNWC emprega um método conhecido como injeção de modelo remoto para buscar o arquivo RTF de forma que ele abrigue o código malicioso somente se a solicitação for originada de um usuário no intervalo de endereços IP do Paquistão. “É importante observar que em ambos os casos, apenas o nome do arquivo ‘file.rtf’ e o tipo de arquivo são os mesmos. No entanto, o conteúdo, o tamanho do arquivo e o hash do arquivo são diferentes”, explicou a BlackBerry.

A divulgação chega logo após a Fortinet e a Team Cymru revelarem um novo conjunto de ataques perpetrados por um agente de ameaças do Paquistão conhecido como SideCopy contra alvos militares e de defesa indianos.”A última campanha do SideWinder visando a Turquia coincide com os desenvolvimentos mais recentes na geopolítica; especificamente, no apoio da Turquia ao Paquistão e a consequente reação da Índia”, disse a BlackBerry.

Compartilhar: