Η κακόβουλη συμμορία SideWinder, έχει συνδεθεί με μια νέα εκστρατεία κυβερνοκατασκοπείας που στοχεύει σε λιμάνια και θαλάσσιες εγκαταστάσεις στον Ινδικό Ωκεανό και τη Μεσόγειο Θάλασσα.

Η Ομάδα Έρευνας και Πληροφοριών της BlackBerry, η οποία εντόπισε αυτή τη δραστηριότητα, ανέφερε ότι οι στόχοι της εκστρατείας spear-phishing περιλαμβάνουν χώρες όπως το Πακιστάν, η Αίγυπτος, η Σρι Λάνκα, το Μπαγκλαντές, η Μιανμάρ, το Νεπάλ και οι Μαλδίβες.

Διαβάστε επίσης: Η κινέζικη κυβερνοκατασκοπεία στοχεύει φορείς τηλεπικοινωνιών στην Ασία από το 2021

Το SideWinder, που είναι επίσης γνωστό με ονόματα όπως APT-C-17, Baby Elephant, Hardcore Nationalist, Rattlesnake και Razor Tiger, εκτιμάται ότι συνδέεται με την Ινδία και λειτουργεί από το 2012, χρησιμοποιώντας συχνά το spear-phishing ως μέσο για την παράδοση κακόβουλων ωφέλιμων φορτίων που ενεργοποιούν τις αλυσίδες επίθεσης.

«Το SideWinder χρησιμοποιεί τεχνικές email spear-phishing, εκμετάλλευσης εγγράφων και DLL side-loading για να αποφύγει τον εντοπισμό και να παραδώσει στοχευμένα εμφυτεύματα», δήλωσε η καναδική εταιρεία κυβερνοασφάλειας σε ανάλυση που δημοσιεύθηκε την περασμένη εβδομάδα.

Η πιο πρόσφατη σειρά επιθέσεων χρησιμοποιεί δέλεαρ που σχετίζονται με θέματα όπως η σεξουαλική παρενόχληση, η απόλυση εργαζομένων και οι μισθολογικές περικοπές, προκειμένου να επηρεάσει αρνητικά τη συναισθηματική κατάσταση των παραληπτών και να τους εξαπατήσει ώστε να ανοίξουν έγγραφα του Microsoft Word που έχουν παγιδευτεί με κακόβουλο λογισμικό.

Αφού ανοίξει το αρχείο δόλωμα, εκμεταλλεύεται μια γνωστή ευπάθεια ασφαλείας (CVE-2017-0199) για να συνδεθεί με ένα κακόβουλο domain που προσποιείται ότι είναι η Γενική Διεύθυνση Λιμένων και Ναυτιλίας του Πακιστάν (“reports.dgps-govtpk[.]com”) προκειμένου να ανακτήσει ένα αρχείο RTF.

Το έγγραφο RTF κατεβάζει ένα αρχείο που εκμεταλλεύεται την ευπάθεια CVE-2017-11882, η οποία έχει παραμείνει ενεργή για χρόνια στον Microsoft Office Equation Editor. Σκοπός είναι η εκτέλεση του shellcode που ενεργοποιεί JavaScript code, αφού πρώτα εξασφαλιστεί ότι το διακυβευμένο σύστημα είναι νόμιμο και αφορά τον παράγοντα της απειλής.

Αυτή τη στιγμή, δεν είναι ξεκάθαρο τι ακριβώς διακινείται μέσω του κακόβουλου λογισμικού JavaScript, αν και ο τελικός στόχος φαίνεται να είναι η συλλογή πληροφοριών, βασισμένη σε προηγούμενες εκστρατείες του SideWinder.

Δείτε περισσότερα: Κινέζοι hackers χρησιμοποιούσαν συσκευές F5 BIG-IP για κυβερνοκατασκοπεία

«Ο παράγοντας απειλής SideWinder συνεχίζει να εξελίσσει τη στρατηγική του για να στοχεύει θύματα σε νέα πεδία», δήλωσε εκπρόσωπος της BlackBerry. «Η σταθερή πρόοδος στην υποδομή και τις μεθόδους διαδικτυακής επίθεσης υποδεικνύει ότι η SideWinder θα συνεχίσει τις επιθέσεις της στο άμεσο μέλλον».

Πηγή: thehackernews