Le istituzioni governative di alto livello in Sri Lanka, Bangladesh e Pakistan sono emerse come l’obiettivo di una nuova campagna orchestrata da un attore di minaccia noto come Sidewinder.
“Gli aggressori hanno utilizzato e -mail di phishing di lance abbinate a carichi utili geofind per garantire che solo le vittime in specifici paesi abbiano ricevuto il contenuto dannoso”, i ricercatori di Acronis Santiago Pontiroli, Jozsef Gegeny e Prakas The Vendaran disse In un rapporto condiviso con le notizie di Hacker.
Le catene di attacco sfruttano le esche per la pista di lancia come punto di partenza per attivare il processo di infezione e distribuire un malware noto indicato come furto. Vale la pena sottolineare che il modus operandi è coerente con i recenti attacchi di sidewinder documentato Di Kaspersky nel marzo 2025.
Alcuni obiettivi della campagna, per Acronis, includono la Commissione di regolamentazione delle telecomunicazioni del Bangladesh, il Ministero della Difesa e il Ministero delle finanze; Direzione pakistana dello sviluppo tecnico indigeno; e Dipartimento delle risorse esterne dello Sri Lanka, Dipartimento delle operazioni del Tesoro, Ministero della Difesa e Banca centrale.
Gli attacchi sono caratterizzati dall’uso di difetti di esecuzione del codice remoto di anni in Microsoft Workplace (CVE-2017-0199 e CVE-2017-11882) come vettori iniziali per distribuire malware in grado di mantenere un accesso persistente negli ambienti governativi in tutta l’Asia meridionale.
I documenti dannosi, una volta aperti, attivano un exploit per CVE-2017-0199 per fornire carichi utili in fase successiva responsabili dell’installazione di Stealerbot tramite tecniche di caricamento laterale DLL.
Una tattica degna di nota adottata da Sidewinder è che le e-mail di phishing delle lance sono accoppiate a carichi utili geofenciati per garantire che solo le vittime che soddisfano i criteri di concentrating on vengano serviti il contenuto dannoso. Nel caso in cui l’indirizzo IP della vittima non corrisponda, un file RTF vuoto viene invece inviato come esca.
Il payload dannoso è un file RTF che arma CVE-2017-11882, una vulnerabilità di corruzione della memoria nell’editor di equazioni, per avviare un caricatore basato su shell-code che esegue il malware Stealerbot.
Stealerbot, secondo Kaspersky, è un Impianto .internet È progettato per rilasciare malware aggiuntivo, avviare una shell inversa e raccogliere una vasta gamma di dati da host compromessi, tra cui schermate, tasti, password e file.
“Sidewinder ha dimostrato un’attività costante nel tempo, mantenendo un ritmo costante di operazioni senza inattività prolungata – un modello che riflette la continuità organizzativa e l’intento prolungato”, hanno affermato i ricercatori.
“Un’analisi più stretta delle loro tattiche, tecniche e process (TTP) rivela un alto grado di controllo e precisione, garantendo che i payload dannosi vengano consegnati solo a obiettivi attentamente selezionati e spesso solo per un tempo limitato.”
