Overheidsinstellingen op hoog niveau in Sri Lanka, Bangladesh en Pakistan zijn naar voren gekomen als het doelwit van een nieuwe campagne georkestreerd door een dreigingsacteur die bekend staat als Sidewinder.
“De aanvallers gebruikten speer phishing -e -mails in combinatie met geofente payloads om ervoor te zorgen dat alleen slachtoffers in specifieke landen de kwaadaardige inhoud ontvingen,” zei Acronis -onderzoekers Santiago Pontiroli, Jozsef Gegeny en Prakas Thevendaran in een rapport gedeeld met de Hacker News.
De aanvalsketens maken gebruik van speer-phishing kunstaas als startpunt om het infectieproces te activeren en een bekende malware te implementeren die Stealerbot wordt genoemd. Het is de moeite waard erop te wijzen dat de modus operandi consistent is met recente Sidewinder -aanvallen die in maart 2025 door Kaspersky zijn gedocumenteerd.
Sommige van de doelen van de campagne, per acronis, omvatten de Telecommunication Regulatory Commission, het ministerie van Defensie en het ministerie van Financiën van Bangladesh; Pakistan Directoraat van de inheemse technische ontwikkeling; en Sri Lanka’s Department of Externe Resources, Department of Treasury Operations, Ministry of Defense en Central Bank.
De aanvallen worden gekenmerkt door het gebruik van jaren oude externe code-uitvoeringsfouten in Microsoft Office (CVE-2017-0199 en CVE-2017-11882) als initiële vectoren om malware te implementeren die in staat zijn om aanhoudende toegang in overheidsomgevingen in Zuid-Azië te handhaven.
De kwaadaardige documenten, wanneer geopend, activeren een exploit voor CVE-2017-0199 om de volgende fase payloads te leveren die verantwoordelijk zijn voor het installeren van StealerBot door middel van DLL-side-loadingtechnieken.
Een opmerkelijke tactiek die door Sidewinder is aangenomen, is dat de speerpijn-e-mails gekoppeld zijn aan geofente payloads om ervoor te zorgen dat alleen slachtoffers die aan de targetingcriteria voldoen, de kwaadaardige inhoud worden bediend. In het geval dat het IP -adres van het slachtoffer niet overeenkomt, wordt in plaats daarvan een leeg RTF -bestand verzonden als een lokvogel.
De kwaadaardige payload is een RTF-bestand dat CVE-2017-11882, een kwetsbaarheid van geheugencorruptie in de vergelijkingseditor, bewapent om een op ShellCode gebaseerde lader te starten die de StealerBot-malware uitvoert.
Stealerbot is volgens Kaspersky een .NET -implantaat dat is ontworpen om extra malware te laten vallen, een omgekeerde shell te starten en een breed scala aan gegevens te verzamelen van gecompromitteerde hosts, waaronder screenshots, toetsaanslagen, wachtwoorden en bestanden.
“Sidewinder heeft in de loop van de tijd consistente activiteit aangetoond, met behoud van een gestaag tempo van operaties zonder langdurige inactiviteit – een patroon dat de continuïteit van de organisatie en aanhoudende intentie weerspiegelt,” zeiden de onderzoekers.
“Een nauwere analyse van hun tactiek, technieken en procedures (TTP’s) onthult een hoge mate van controle en precisie, zodat kwaadaardige ladingen alleen worden geleverd aan zorgvuldig geselecteerde doelen, en vaak slechts voor een beperkte tijd.”
