Passa al contenuto principale

Kaspersky rileva l’APT SideWinder, che intensifica gli attacchi con un nuovo strumento di spionaggio

17 ottobre 2024

Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto che il gruppo APT SideWinder sta aumentando le sue operazioni in Medio Oriente e Africa, utilizzando "StealerBot", un toolkit di spionaggio fino ad ora sconosciuto. Durante il monitoraggio costante delle attività di questo gruppo, Kaspersky ha rilevato che le campagne più recenti hanno preso di mira entità di alto profilo e infrastrutture strategiche nelle due aree, lasciando presagire che l’operazione possa colpire altre vittime in futuro.

SideWinder, noto anche come T-APT_04 o RattleSnake, è attivo dal 2012 ed è considerato uno dei gruppi APT più prolifici. In passato ha preso di mira principalmente enti militari e governativi in Paesi come Pakistan, Sri Lanka, Cina e Nepal, oltre a settori strategici in diverse nazioni del Sud e Sud-Est asiatico. Recentemente Kaspersky ha osservato nuove ondate di attacchi, che si sono diffuse fino in Medio Oriente e l’Africa per colpire organizzazioni di alto profilo e infrastrutture strategiche.

Oltre all’espansione geografica, Kaspersky ha scoperto che SideWinder utilizza un toolkit di post-exploitation avanzato e modulare, chiamato "StealerBot", sviluppato specificamente per attività di spionaggio e attualmente impiegato come strumento principale per infiltrarsi nei sistemi compromessi.

StealerBot è un sofisticato strumento di spionaggio che consente agli attori delle minacce di raccogliere informazioni senza essere facilmente rilevati. Grazie alla sua struttura modulare, ogni componente è progettato per svolgere funzioni specifiche. I moduli non vengono mai salvati sull’hard disk, il che rende il rilevamento più complesso, poiché vengono caricati direttamente nella memoria del sistema. Il cuore di StealerBot è l’‘Orchestrator, che gestisce l’intera operazione comunicando con il server di comando e controllo e coordinando l’esecuzione dei vari moduli”, ha affermato Giampaolo Dedola, Lead Security Researcher del GReAT.

Durante l’ultima ricerca, Kaspersky ha osservato come StealerBot sia in grado di eseguire numerose attività dannose, tra cui l’installazione di malware aggiuntivi, l’acquisizione di screenshot, la registrazione delle sequenze di tasti, il furto di password dai browser, l’intercettazione delle credenziali RDP (Remote Desktop Protocol), l’esfiltrazione di file e molto altro.

Kaspersky aveva già segnalato le attività di SideWinder nel 2018. Il gruppo è noto per l’uso di email di spear-phishing come vettore principale di infezione, attraverso documenti dannosi che sfruttano vulnerabilità di Office, oltre all’utilizzo occasionale di file LNK, HTML e HTA inseriti in archivi. Questi documenti contengono spesso informazioni tratte da fonti pubbliche, usate per indurre le vittime ad aprire il file e a considerarlo legittimo. Kaspersky ha osservato l’impiego di diverse famiglie di malware in campagne parallele, incluse versioni modificate di RAT (Remote Access Trojans) disponibili pubblicamente.

Per ridurre i rischi associati alle attività degli APT, Kaspersky consiglia alle aziende di fornire ai propri esperti di sicurezza le informazioni più aggiornate e i dettagli tecnici disponibili attraverso Kaspersky Threat Intelligence Portal.

Per ulteriori informazioni è possibile consultare il report su Securelist.

Kaspersky rileva l’APT SideWinder, che intensifica gli attacchi con un nuovo strumento di spionaggio

Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto che il gruppo APT SideWinder sta aumentando le sue operazioni in Medio Oriente e Africa, utilizzando "StealerBot", un toolkit di spionaggio fino ad ora sconosciuto. Durante il monitoraggio costante delle attività di questo gruppo, Kaspersky ha rilevato che le campagne più recenti hanno preso di mira entità di alto profilo e infrastrutture strategiche nelle due aree, lasciando presagire che l’operazione possa colpire altre vittime in futuro.
Kaspersky logo

Informazioni su Kaspersky

Kaspersky è un'azienda globale di sicurezza informatica e privacy digitale fondata nel 1997. Con oltre un miliardo di dispositivi protetti fino a oggi dalle minacce informatiche emergenti e dagli attacchi mirati, l'intelligence sulle minacce e le competenze in materia di sicurezza di Kaspersky si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L’azienda offre un portafoglio di prodotti di sicurezza completo, che include protezione degli endpoint leader di settore, prodotti e servizi di sicurezza specializzati e soluzioni Cyber ​​Immune per contrastare le minacce digitali sofisticate e in continua evoluzione. Aiutiamo oltre 200.000 clienti aziendali a proteggere ciò che conta di più per loro. Ulteriori informazioni sul sito Web www.kaspersky.it.

Articolo correlato Comunicati Stampa