SideWinder APT sta colpendo aziende indiane fingendosi l’Agenzia delle Entrate con email phishing urgenti. Ricevi un messaggio su un’ispezione fiscale? Non cliccare link sospetti e verifica sempre la fonte per evitare backdoor che rubano dati sensibili.
Questi hacker, noti anche come Rattlesnake o APT-C-17, inviano email che invitano a rivedere documenti fiscali. Il link porta a un sito fasullo identico a quello ufficiale, da cui scarichi un file zip apparentemente innocuo. Una volta aperto, installa malware invisibile che spia file, scatta screenshot e concede accesso remoto agli attaccanti.
Le vittime principali sono aziende nei settori servizi, retail, telecomunicazioni e sanità in India e Sud Asia. Il gruppo opera dal 2012, puntando governi, diplomazie e infrastrutture critiche in paesi come Sri Lanka, Pakistan, Bangladesh, Medio Oriente e Africa.
Technical deep dive
L’attacco inizia con link shortener come surl.li verso domini fake tipo gfmqvip.vip. Il file Inspection.zip contiene SenseCE.exe (binario Microsoft Defender legittimo rinominato), MpGear.dll malevola e un certificato finto. Eseguendo l’exe, si attiva DLL side-loading: la DLL dannosa si carica in un processo fidato, eludendo antivirus e EDR.
Prima del payload, il malware verifica il fuso orario consultando timeapi.io e worldtimeapi.org. Solo con UTC+5:30 (India/Sud Asia) scarica mysetup.exe da GoFile o surl.li e si connette a C2 come 8.217.152.225 o 180.178.56.230. L’impianto usa tecniche living off the land, mimando software enterprise cinesi per persistenza stealth.
Evoluzione recente: dal 2025, SideWinder testa ClickOnce, PDF fake e exploit CVE-2017-0199/11882 in Word/RTF, con geofencing per target specifici come ambasciate. Monitora traffico surl.li, ZIP sospetti, eseguibili in cartelle anomale e connessioni a timeapi.io.
Difese efficaci:
– Blocca ZIP da email non verificate.
– Ispeziona traffico SSL/TLS con policy strette.
– Usa EDR con analisi comportamentale.
– Aggiorna patch e forma il team su phishing governativi.
Resta vigile, specialmente in Asia-Pacifico: SideWinder evolve con tattiche precise per spionaggio industriale.
Fonte: https://cybersecuritynews.com/sidewinder-apt-hackers-attacking-indian-entities/
