Kelompok APT SideWinder telah terdeteksi oleh Tim Riset dan Analisis Global Kaspersky (GReAT) tengah memperluas operasi serangannya ke Timur Tengah dan Afrika, dengan memanfaatkan perangkat mata-mata yang sebelumnya tidak dikenal yang disebut ‘StealerBot’.
Sebagai bagian dari pemantauan berkelanjutan terhadap aktivitas APT, Kaspersky menemukan bahwa kampanye terkini menargetkan entitas-entitas penting dan infrastruktur strategis di wilayah-wilayah ini, sementara kampanye tersebut secara umum tetap aktif dan dapat menargetkan korban-korban lainnya.
SideWinder, yang juga dikenal sebagai T-APT-04 atau RattleSnake, adalah salah satu kelompok APT paling produktif yang memulai operasinya pada tahun 2012. Selama bertahun-tahun, kelompok ini terutama menargetkan entitas-entitas militer dan pemerintah di Pakistan, Sri Lanka, Tiongkok, dan Nepal, serta sektor-sektor dan negara-negara lain di Asia Selatan dan Asia Tenggara. Baru-baru ini, Kaspersky mengamati sejumlah gelombang serangan baru, yang telah meluas hingga memengaruhi entitas-entitas penting dan infrastruktur strategis di Timur Tengah dan Afrika.
Selain perluasan geografis, Kaspersky menemukan bahwa SideWinder menggunakan perangkat pascaeksploitasi yang sebelumnya tidak dikenal yang disebut ‘StealerBot’. Ini adalah implan modular canggih yang dirancang khusus untuk kegiatan spionase, dan saat ini digunakan oleh kelompok tersebut sebagai alat utama pasca-eksploitasi.
“Singkatnya, StealerBot adalah alat mata-mata tersembunyi yang memungkinkan pelaku kejahatan siber untuk memata-matai sistem tanpa mudah dideteksi. Alat ini beroperasi melalui struktur modular, dengan setiap komponen dirancang untuk menjalankan fungsi tertentu. Khususnya, modul-modul ini tidak pernah muncul sebagai berkas di hard drive sistem, sehingga sulit dilacak. Sebaliknya, modul-modul ini dimuat langsung ke dalam memori. Inti dari StealerBot adalah ‘Orchestrator’, yang mengawasi seluruh operasi, berkomunikasi dengan server perintah dan kontrol para kriminal siber, dan mengoordinasikan pelaksanaan berbagai modulnya”, kata Giampaolo Dedola, kepala peneliti keamanan di GReAT.
Selama penyelidikan terbarunya, Kaspersky mengamati bahwa StealerBot melakukan berbagai aktivitas berbahaya, seperti memasang malware tambahan, mengambil tangkapan layar, mencatat penekanan tombol, mencuri kata sandi dari browser, menyadap kredensial RDP (Remote Desktop Protocol), mengekstraksi berkas, dan masih banyak lagi.
Kaspersky pertama kali melaporkan aktivitas kelompok tersebut pada tahun 2018. Pelaku ini diketahui mengandalkan email spear-phishing sebagai metode infeksi utamanya, yang berisi dokumen berbahaya yang mengeksploitasi kerentanan Office dan terkadang memanfaatkan file LNK, HTML, dan HTA yang terdapat dalam arsip. Dokumen sering kali berisi informasi yang diperoleh dari situs web publik, yang digunakan untuk memikat korban agar membuka file tersebut dan mempercayainya sebagai file yang sah. Kaspersky mengamati beberapa keluarga malware yang digunakan dalam kampanye paralel, termasuk RAT yang dibuat khusus dan dimodifikasi, yang tersedia untuk umum.
