Kelompok ancaman persisten tingkat lanjut (APT) “agresif” yang dikenal sebagai Tubrukan dr samping telah dikaitkan dengan lebih dari 1.000 serangan baru sejak April 2020.
“Beberapa karakteristik utama dari pelaku ancaman ini yang membuatnya menonjol antara lain adalah jumlah, frekuensi tinggi dan kegigihan serangan mereka dan kumpulan besar komponen berbahaya yang dienkripsi dan disamarkan yang digunakan dalam operasi mereka,” firma keamanan siber Kaspersky kata dalam laporan yang dipresentasikan di Black Hat Asia bulan ini.
SideWinder, juga disebut Rattlesnake atau T-APT-04, dikatakan telah aktif setidaknya sejak 2012 dengan rekam jejak menargetkan militer, pertahanan, penerbangan, perusahaan IT, dan firma hukum di negara-negara Asia Tengah seperti Afghanistan, Bangladesh, Nepal, dan Pakistan.
Laporan tren APT Kaspersky untuk Q1 2022 yang diterbitkan akhir bulan lalu mengungkapkan bahwa pelaku ancaman secara aktif memperluas geografi targetnya di luar profil korbannya ke negara dan wilayah lain, termasuk Singapura.
SideWinder juga telah diamati memanfaatkan perang Rusia-Ukraina yang sedang berlangsung sebagai iming-iming dalam kampanye phishing untuk mendistribusikan malware dan mencuri informasi sensitif.
Rantai infeksi kolektif musuh terkenal karena menggabungkan dokumen yang dicurangi malware yang memanfaatkan kerentanan kode jarak jauh dalam komponen Editor Persamaan Microsoft Office (CVE-2017-11882) untuk menyebarkan muatan berbahaya pada sistem yang disusupi.
Selain itu, perangkat SideWinder menggunakan beberapa rutinitas kebingungan yang canggih, enkripsi dengan kunci unik untuk setiap file berbahaya, malware multi-layer, dan pemisahan string infrastruktur command-and-control (C2) menjadi komponen malware yang berbeda.
Urutan infeksi tiga tahap dimulai dengan dokumen jahat menjatuhkan muatan Aplikasi HTML (HTA), yang kemudian memuat modul berbasis .NET untuk menginstal komponen HTA tahap kedua yang dirancang untuk menyebarkan penginstal berbasis .NET.
Installer ini, pada fase berikutnya, bertanggung jawab untuk membangun kegigihan pada host dan memuat backdoor terakhir di memori. Implan, pada bagiannya, mampu memanen file yang menarik serta informasi sistem, antara lain.
Tidak kurang dari 400 domain dan subdomain telah digunakan oleh aktor ancaman selama dua tahun terakhir. Untuk menambahkan lapisan siluman tambahan, URL yang digunakan untuk domain C2 diiris menjadi dua bagian, bagian pertama disertakan dalam penginstal .NET dan paruh kedua dienkripsi di dalam modul HTA tahap kedua.
“Aktor ancaman ini memiliki tingkat kecanggihan yang relatif tinggi menggunakan berbagai vektor infeksi dan teknik serangan tingkat lanjut,” kata Noushin Shabab dari Kaspersky, mendesak agar organisasi menggunakan versi terbaru Microsoft Office untuk mengurangi serangan tersebut.