Eine „aggressive“ APT-Gruppe (Advanced Persistent Threat) mit dem Namen SideWinder wurde seit April 2020 mit über 1.000 neuen Angriffen in Verbindung gebracht.
„Einige der Hauptmerkmale dieses Bedrohungsakteurs, die ihn von anderen abheben, sind die schiere Anzahl, die hohe Frequenz und die Ausdauer seiner Angriffe sowie die große Sammlung verschlüsselter und verschleierter bösartiger Komponenten, die bei seinen Operationen verwendet werden“, so das Cybersecurity-Unternehmen Kaspersky in einem Bericht, der diesen Monat auf der Black Hat Asia vorgestellt wurde.
SideWinder, auch Rattlesnake oder T-APT-04 genannt, soll seit mindestens 2012 aktiv sein und es auf Militär-, Verteidigungs-, Luftfahrt-, IT- und Rechtsfirmen in zentralasiatischen Ländern wie Afghanistan, Bangladesch, Nepal und Pakistan abgesehen haben.
Der APT-Trends-Bericht von Kaspersky für das erste Quartal 2022, der Ende letzten Monats veröffentlicht wurde, zeigt, dass der Bedrohungsakteur seine Ziele über sein traditionelles Opferprofil hinaus aktiv auf andere Länder und Regionen ausweitet, darunter Singapur.
SideWinder hat auch beobachtet, dass er den laufenden russisch-ukrainischen Krieg als Köder für seine Phishing-Kampagnen nutzt, um Malware zu verbreiten und sensible Daten zu stehlen.
Die Infektionsketten des Angreiferkollektivs zeichnen sich dadurch aus, dass sie mit Malware manipulierte Dokumente enthalten, die eine Remote-Code-Schwachstelle in der Equation-Editor-Komponente von Microsoft Office (CVE-2017-11882) ausnutzen, um bösartige Nutzdaten auf kompromittierten Systemen zu verteilen.
Darüber hinaus verwendet SideWinder mehrere ausgeklügelte Verschleierungsroutinen, Verschlüsselung mit eindeutigen Schlüsseln für jede bösartige Datei, mehrschichtige Malware und die Aufteilung von Command-and-Control (C2)-Infrastrukturstrings in verschiedene Malware-Komponenten.
Die dreistufige Infektionssequenz beginnt damit, dass die bösartigen Dokumente eine HTML-Anwendungs-Nutzlast (HTA) abwerfen, die anschließend ein .NET-basiertes Modul lädt, um eine HTA-Komponente der zweiten Stufe zu installieren, die ein .NET-basiertes Installationsprogramm bereitstellt.
Dieser Installer ist in der nächsten Phase sowohl für den Aufbau der Persistenz auf dem Host als auch für das Laden der endgültigen Backdoor in den Speicher verantwortlich. Das Implantat ist seinerseits in der Lage, unter anderem interessante Dateien und Systeminformationen abzugreifen.
Nicht weniger als 400 Domains und Subdomains wurden in den letzten zwei Jahren von dem Bedrohungsakteur genutzt. Um die Tarnung zu verbessern, werden die URLs der C2-Domänen in zwei Teile zerlegt, von denen der erste Teil im .NET-Installationsprogramm enthalten ist und der zweite Teil im HTA-Modul der zweiten Stufe verschlüsselt wird.
„Noushin Shabab von Kaspersky sagt: „Dieser Bedrohungsakteur ist relativ raffiniert und nutzt verschiedene Infektionsvektoren und fortschrittliche Angriffstechniken, um solche Angriffe abzuschwächen.