GReAT, SideWinder APT grubunun daha önce bilinmeyen ‘StealerBot’ adlı bir casusluk araç seti kullanarak saldırı operasyonlarını Orta Doğu ve Afrika bölgesine genişlettiğini tespit etti.
T-APT-04 veya RattleSnake olarak da bilinen SideWinder, 2012 yılında faaliyete başlayan en üretken APT gruplarından biri olarak dikkat çekiyor. Saldırı yıllar boyunca öncelikle Pakistan, Sri Lanka, Çin ve Nepal’deki askeri ve kamu kurumlarının yanı sıra Güney ve Güneydoğu Asya’daki diğer sektörleri ve ülkeleri hedef almıştı.
Son zamanlarda güvenlik uzmanları, bu tehdide ait Orta Doğu ve Afrika’daki yüksek profilli kuruluşları ve stratejik altyapıyı etkileyecek şekilde genişleyen yeni saldırı dalgaları gözlemledi.
Güvenlik uzmanları, coğrafi genişlemenin yanı sıra SideWinder’ın daha önce bilinmeyen ‘StealerBot’ adlı bir post-exploitation araç seti kullandığını keşfetti. Bu özellikle casusluk faaliyetleri için tasarlanan gelişmiş modüler implant, şu anda grup tarafından ana sömürü sonrası aracı olarak kullanılıyor.
Güvenlik uzmanları, son yaptığı araştırma sırasında StealerBot’un ek kötü amaçlı yazılım yükleme, ekran görüntüleri yakalama, tuş vuruşlarını kaydetme, tarayıcılardan parola çalma, RDP (Uzak Masaüstü Protokolü) kimlik bilgilerini ele geçirme, dosya sızdırma ve daha fazlası gibi bir dizi kötü amaçlı etkinlik gerçekleştirdiğini gözlemledi.
Güvenlik uzmanları, grubun faaliyetlerini ilk olarak 2018’de raporladı. Bu aktörün ana bulaşma yöntemi olarak Office açıklarından yararlanan ve zaman zaman arşivlerde bulunan LNK, HTML ve HTA dosyalarını kullanan kötü amaçlı belgeler içeren kimlik avı e-postalarını kullandığı biliniyor.
Belgeler genellikle halka açık web sitelerinden elde edilen bilgiler içeriyor ve bu bilgiler kurbanı dosyayı açmak için yasal olduğuna ikna etmek amacıyla kullanılıyor.
Güvenlik uzmanları paralel kampanyalarda hem özel yapım hem de değiştirilmiş, halka açık RAT’lar dahil olmak üzere çeşitli kötü amaçlı yazılım ailelerinin kullanıldığını gözlemledi.