Een geavanceerde persistente dreiging (APT)-actor met vermoedelijke banden met India is naar voren gekomen met een golf van aanvallen op spraakmakende entiteiten en strategische infrastructuren in het Midden-Oosten en Afrika.
De activiteit is toegeschreven aan een groep die wordt gevolgd als SideWinder, ook bekend als APT-C-17, Baby Elephant, Hardcore Nationalist, Leafperforator, Rattlesnake, Razor Tiger en T-APT-04.
“De groep kan worden gezien als een laaggeschoolde actor vanwege het gebruik van publieke exploits, kwaadaardige LNK-bestanden en scripts als infectievectoren, en het gebruik van openbare RAT’s, maar hun ware capaciteiten worden pas duidelijk als je de details van de aanvallen zorgvuldig onderzoekt. hun activiteiten”, aldus Kaspersky-onderzoekers Giampaolo Dedola en Vasily Berdnikov.
Doelwitten van de aanvallen zijn onder meer overheids- en militaire entiteiten, logistieke, infrastructuur- en telecommunicatiebedrijven, financiële instellingen, universiteiten en oliehandelsbedrijven in Bangladesh, Djibouti, Jordanië, Maleisië, de Malediven, Myanmar, Nepal, Pakistan, Saoedi-Arabië en Sri Lanka. , Turkije en de VAE
Er is ook waargenomen dat SideWinder zijn zinnen heeft gezet op diplomatieke entiteiten in Afghanistan, Frankrijk, China, India, Indonesië en Marokko.
Het belangrijkste aspect van de recente campagne is het gebruik van een meerfasige infectieketen om een voorheen onbekende post-exploitatietoolkit te leveren, genaamd StealerBot.
Het begint allemaal met een spearphishing-e-mail met een bijlage – een ZIP-archief met een Windows-snelkoppelingsbestand (LNK) of een Microsoft Office-document – dat op zijn beurt een reeks tussenliggende JavaScript- en .NET-downloaders uitvoert om uiteindelijk de StealerBot-malware.
De documenten zijn gebaseerd op de beproefde techniek van sjablooninjectie op afstand om een RTF-bestand te downloaden dat wordt opgeslagen op een door de tegenstander bestuurde externe server. Het RTF-bestand activeert op zijn beurt een exploit voor CVE-2017-11882, om JavaScript-code uit te voeren die verantwoordelijk is voor het uitvoeren van aanvullende JavaScript-code die wordt gehost op mofa-gov-sa.direct888(.)net.
Aan de andere kant maakt het LNK-bestand gebruik van het hulpprogramma mshta.exe, een Windows-native binair bestand dat is ontworpen om Microsoft HTML Application-bestanden (HTA) uit te voeren, om dezelfde JavaScript-code uit te voeren die wordt gehost op een kwaadaardige website die wordt beheerd door de aanvaller.
De JavaScript-malware dient om een ingebedde Base64-gecodeerde string te extraheren, een .NET-bibliotheek genaamd “App.dll” die systeeminformatie verzamelt en functioneert als een downloader voor een tweede .NET-payload van een server (“ModuleInstaller.dll”).
ModuleInstaller is ook een downloader, maar dan één die is uitgerust om persistentie op de host te behouden, een backdoor loader-module uit te voeren en componenten uit de volgende fase op te halen. Maar in een interessante wending wordt de manier waarop ze worden uitgevoerd bepaald door welke eindpuntbeveiligingsoplossing op de host is geïnstalleerd.
“De Bbckdoor-ladermodule wordt sinds 2020 waargenomen”, aldus de onderzoekers, waarbij ze erop wezen dat deze module detectie kan omzeilen en kan voorkomen dat deze in sandbox-omgevingen draait. “Het is door de jaren heen vrijwel hetzelfde gebleven.”
“Het is onlangs bijgewerkt door de aanvaller, maar het belangrijkste verschil is dat oude varianten zijn geconfigureerd om het gecodeerde bestand te laden met een specifieke bestandsnaam die in het programma is ingebed, en de nieuwste varianten zijn ontworpen om alle bestanden in de huidige map op te sommen en te laden degenen zonder verlenging.”
Het einddoel van de aanvallen is om StealerBot via de Backdoorloader-module te laten vallen. Beschreven als een op .NET gebaseerd “geavanceerd modulair implantaat”, is het specifiek gericht op het vergemakkelijken van spionageactiviteiten door verschillende plug-ins op te halen om –
- Installeer extra malware met behulp van een C++-downloader
- Maak schermafbeeldingen
- Toetsaanslagen registreren
- Wachtwoorden stelen uit browsers
- RDP-referenties onderscheppen
- Bestanden stelen
- Start de omgekeerde schaal
- Phish Windows-inloggegevens, en
- Escaleer rechten zonder Gebruikersaccountbeheer (UAC) te omzeilen
“Het implantaat bestaat uit verschillende modules die worden geladen door de belangrijkste ‘Orchestrator’, die verantwoordelijk is voor de communicatie met de (command-and-control) en het uitvoeren en beheren van de plug-ins”, aldus de onderzoekers. “De Orchestrator wordt meestal geladen door de backdoorloader-module.”
Kaspersky zei dat het twee installatiecomponenten heeft gedetecteerd – InstallerPayload en InstallerPayload_NET genaamd – die geen deel uitmaken van de aanvalsketen, maar worden gebruikt om StealerBot te installeren om waarschijnlijk naar een nieuwe versie te updaten of een andere gebruiker te infecteren.
De uitbreiding van het geografische bereik van SideWinder en het gebruik van een nieuwe geavanceerde toolkit komt op het moment dat cyberbeveiligingsbedrijf Cyfirma de nieuwe infrastructuur heeft gedetailleerd die het Mythic post-exploitatieframework draait en is gekoppeld aan Transparent Tribe (ook bekend als APT36), een bedreigingsacteur waarvan wordt aangenomen dat hij van Pakistaanse afkomst is.
“De groep verspreidt kwaadaardige Linux-desktop-invoerbestanden, vermomd als pdf’s”, aldus het rapport. “Deze bestanden voeren scripts uit om kwaadaardige binaire bestanden te downloaden en uit te voeren vanaf externe servers, waardoor permanente toegang tot stand wordt gebracht en detectie wordt omzeild.”
“APT36 richt zich steeds meer op Linux-omgevingen vanwege het wijdverbreide gebruik ervan in Indiase overheidssectoren, vooral met het op Debian gebaseerde BOSS OS en de introductie van Maya OS.”
