Es uno de los grupos de piratería de estados nacionales más prolíficos pero menos conocidos del mundo, y no proviene de China o Rusia. El llamado grupo SideWinder (también conocido como Rattlesnake o T-APT4) ha estado en una racha en los últimos dos años, lanzando más de 1,000 ataques dirigidos.
Noushin Shabab, investigadora principal de seguridad de Kaspersky, ha estado rastreando SideWinder desde 2017 y compartirá sus últimos hallazgos sobre este equipo de ciberespionaje en Black Hat Europe en Singapur este mes.
“Han sido muy persistentes en sus ataques en términos de apuntar a víctimas específicas una y otra vez, con nuevo malware y nuevos dominios registrados”, dice Shabab. “Entonces, incluso si el objetivo ha sospechado que un intento anterior tenía intenciones maliciosas, como con correos electrónicos de phishing selectivo, etc., el actor de amenazas ha intentado usar un nuevo vector de infección y usar un nuevo dominio para probar suerte, una y otra vez. .”
SideWinder también ha mejorado su juego cuando se trata de ocultar sus huellas y desviar la detección, así como frustrar a los investigadores. El grupo de amenazas ahora ejecuta una cadena de ataque más compleja que utiliza múltiples capas de malware, ofuscación adicional y malware residente en la memoria que no deja evidencia de su presencia, dice. Si bien otros grupos de amenazas avanzados y bien engrasados también continúan agregando nuevos métodos para camuflar su actividad, dice Noushin, SideWinder se destaca por su tenaz persistencia y alto volumen de actividad.
“Creo que lo que realmente los hace destacar entre otros actores de APT [amenazas persistentes avanzadas] es el gran conjunto de herramientas que tienen con muchas familias de malware diferentes, muchos documentos nuevos de phishing y una infraestructura muy grande”, dice. “No he visto 1,000 ataques de un solo APT” de otro grupo hasta ahora, agrega.
Shabab ha rastreado la actividad de SideWinder desde abril de 2020, pero Kaspersky informó por primera vez sobre SideWinder en enero de 2018 y cree que existe desde al menos 2012. La empresa de seguridad tradicionalmente evita atribuir a los actores de amenazas a estados-nación específicos, pero Shabab dice que la investigación inicial de su empresa sobre SideWinder mostró que el grupo está vinculado a una empresa con sede en India que publicitaba servicios de análisis de malware y pruebas de penetración en su sitio web.
“Encontramos algo de contexto entre esa empresa y ese actor de amenazas”, dice ella. Sin embargo, señala que "a lo largo de los años, la atribución [SideWinder] se volvió más desafiante".
SideWinder se dirige principalmente a entidades militares y policiales en el centro y sur de Asia, pero también afecta a empresas de asuntos exteriores, defensa, aviación, TI y legales en Asia. Pakistán y Sri Lanka son su principal foco últimamente, según la investigación de Kaspersky, y recientemente se centró en organizaciones gubernamentales y afines en Afganistán, China y Nepal, según informes anteriores. investigación de Trend Micro y de anomalía.
Kaspersky también sigue a otro grupo de amenazas de espionaje cibernético, denominado Sidecopy, que en ocasiones copia las tácticas y técnicas de SideWinder, a menudo recurriendo al nuevo vector de infección que SideWinder ha adoptado. A diferencia de otros equipos de investigación de seguridad, Kaspersky considera que Sidecopy es independiente de SideWinder. Se han visto organizaciones objetivo de Sidecopy principalmente en India y Afganistán.
No se requieren días cero
El principal vector de ataque inicial de SideWinder consiste en enviar correos electrónicos de phishing de apariencia convincente con documentos adjuntos manipulados con malware a sus objetivos cuidadosamente seleccionados. El grupo de piratería no implementa ningún exploit de día cero, sino que, en su mayoría, usa como arma las vulnerabilidades conocidas de Windows o Android, incluidas las antiguas fallas de Microsoft Office, según Shabab.
Dicho esto, en enero de 2020, los investigadores de Trend Micro revelaron que habían descubrió SideWinder explotando una vulnerabilidad de escalada de privilegios locales de día cero que afectó a cientos de millones de teléfonos Android cuando se publicó por primera vez (CVE-2019-2215).
SideWinder a menudo cambia de marcha si sus primeros intentos no infectan a sus víctimas. Shabab ha visto que APT abusa de la función de acceso directo a archivos de Windows para enmascarar el malware, por ejemplo.
“Lo interesante es que los hemos visto ser bastante cuidadosos e innovadores en la forma en que se acercan a las víctimas”, dice.
En al menos dos ocasiones, dice, SideWinder envió archivos adjuntos de documentos vacíos con los correos electrónicos de phishing. El documento no tenía contenido, pero dentro había una carga maliciosa. “Después de un rato, envían una carta [en un correo electrónico] en la que se disculpan por el documento vacío que habían enviado antes. Pero ese segundo correo electrónico tenía una carga maliciosa diferente dentro del documento”, dice. “Estaban intentando todo para asegurarse de tener un punto de apoyo en el sistema de la víctima”.
SideWinder también intercambia dominios regularmente para sus servidores de comando y control, así como para sus servidores de descarga. Eso es principalmente para garantizar que si se detecta un dominio, todavía tiene una forma de llegar a sus objetivos, explica Shabab. La difusión de la actividad en diferentes dominios en los ataques también es menos probable que genere sospechas.
La investigación de Kaspersky muestra que SideWinder apunta principalmente a Windows por ahora, pero encontró algunas aplicaciones móviles maliciosas el año pasado cuando la empresa investigó los dominios y servidores de infraestructura del grupo.
“Pero al observar su gran infraestructura de ataque y los grandes conjuntos de familias de malware que tienen para Windows, no parece que los dispositivos móviles sean su enfoque principal”, dice Shabab.
Charla de sombrero negro
Shabab compartirá detalles técnicos en su sesión en Black Hat Asia la próxima semana, titulada “SideWinder se desenrolla para golpear.” Estos incluirán cómo el equipo de piratería ha desarrollado sus métodos de ofuscación para ocultar su malware y plegarlo en cadenas de infección de múltiples etapas. Ella dice que investigar los métodos de ataque de SideWinder requirió que descifrara varias capas de cifrado y miles de scripts de ofuscación. Y "para cada uno, la clave de descifrado era diferente", dice.
Shabab planea proporcionar recomendaciones sobre cómo usar los indicadores de compromiso de SideWinder junto con consejos específicos de defensa de seguridad para defenderse contra este grupo APT. Debido a que principalmente logra infecciones iniciales a través de vulnerabilidades conocidas y funciones legítimas en Windows (como Microsoft Office), la aplicación de parches y las mejores prácticas de seguridad habituales son clave. Eso significa fortalecer las aplicaciones con listas blancas o reglas de firewall, lo que puede ayudar a detener módulos de malware malicioso adicionales de los servidores de SideWinder, dice.
“No es muy difícil detener el ataque” al principio, dice ella. Pero si SideWinder supera ese primer obstáculo e infecta la máquina en la primera fase del ataque, erradicar el ataque se vuelve exponencialmente más difícil. Ella agrega: "Tienen muchas técnicas para pasar desapercibidos por más tiempo y ser persistentes".
