Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto che il gruppo APT SideWinder sta aumentando le sue operazioni in Medio Oriente e Africa, utilizzando "StealerBot", un toolkit di spionaggio fino ad ora sconosciuto. Durante il monitoraggio costante delle attività di questo gruppo, Kaspersky ha rilevato che le campagne più recenti hanno preso di mira entità di alto profilo e infrastrutture strategiche nelle due aree, lasciando presagire che l’operazione possa colpire altre vittime in futuro.
SideWinder, noto anche come T-APT_04 o RattleSnake, è attivo dal 2012 ed è considerato uno dei gruppi APT più prolifici. In passato ha preso di mira principalmente enti militari e governativi in Paesi come Pakistan, Sri Lanka, Cina e Nepal, oltre a settori strategici in diverse nazioni del Sud e Sud-Est asiatico. Recentemente Kaspersky ha osservato nuove ondate di attacchi, che si sono diffuse fino in Medio Oriente e l’Africa per colpire organizzazioni di alto profilo e infrastrutture strategiche.
Oltre all’espansione geografica, Kaspersky ha scoperto che SideWinder utilizza un toolkit di post-exploitation avanzato e modulare, chiamato "StealerBot", sviluppato specificamente per attività di spionaggio e attualmente impiegato come strumento principale per infiltrarsi nei sistemi compromessi.
“StealerBot è un sofisticato strumento di spionaggio che consente agli attori delle minacce di raccogliere informazioni senza essere facilmente rilevati. Grazie alla sua struttura modulare, ogni componente è progettato per svolgere funzioni specifiche. I moduli non vengono mai salvati sull’hard disk, il che rende il rilevamento più complesso, poiché vengono caricati direttamente nella memoria del sistema. Il cuore di StealerBot è l’‘Orchestrator”, che gestisce l’intera operazione comunicando con il server di comando e controllo e coordinando l’esecuzione dei vari moduli”, ha affermato Giampaolo Dedola, Lead Security Researcher del GReAT.
Durante l’ultima ricerca, Kaspersky ha osservato come StealerBot sia in grado di eseguire numerose attività dannose, tra cui l’installazione di malware aggiuntivi, l’acquisizione di screenshot, la registrazione delle sequenze di tasti, il furto di password dai browser, l’intercettazione delle credenziali RDP (Remote Desktop Protocol), l’esfiltrazione di file e molto altro.
Kaspersky aveva già segnalato le attività di SideWinder nel 2018. Il gruppo è noto per l’uso di email di spear-phishing come vettore principale di infezione, attraverso documenti dannosi che sfruttano vulnerabilità di Office, oltre all’utilizzo occasionale di file LNK, HTML e HTA inseriti in archivi. Questi documenti contengono spesso informazioni tratte da fonti pubbliche, usate per indurre le vittime ad aprire il file e a considerarlo legittimo. Kaspersky ha osservato l’impiego di diverse famiglie di malware in campagne parallele, incluse versioni modificate di RAT (Remote Access Trojans) disponibili pubblicamente.
Per ridurre i rischi associati alle attività degli APT, Kaspersky consiglia alle aziende di fornire ai propri esperti di sicurezza le informazioni più aggiornate e i dettagli tecnici disponibili attraverso Kaspersky Threat Intelligence Portal.
Per ulteriori informazioni è possibile consultare il report su Securelist.