Un nuovo attacco informatico mirato ha colpito istituzioni governative di alto livello in Sri Lanka, Bangladesh e Pakistan, evidenziando ancora una volta la pericolosità dei gruppi APT e l'importanza della sicurezza informatica nel settore pubblico. Il gruppo responsabile, noto come SideWinder, ha orchestrato una campagna di cyber spionaggio sfruttando vecchie vulnerabilità di Microsoft Office, in particolare le falle CVE-2017-0199 e CVE-2017-11882, per diffondere un malware personalizzato chiamato StealerBot.

Fasi dell’attacco e tecniche utilizzate

L'attacco inizia attraverso email di spear phishing, che rappresentano uno dei metodi più efficaci per ingannare le vittime e indurle ad aprire documenti malevoli. Queste email sono state progettate per colpire solo specifici paesi, grazie a payload geolocalizzati: solo chi si connette da IP appartenenti a Sri Lanka, Bangladesh o Pakistan riceve il file dannoso, mentre agli altri utenti viene inviato un documento innocuo come diversivo. Tra gli obiettivi individuati figurano ministeri della difesa, delle finanze e commissioni di regolamentazione delle telecomunicazioni.

I documenti RTF allegati alle email sfruttano vulnerabilità note del software Microsoft Office per eseguire codice dannoso e innescare il download di ulteriori payload. Una volta aperto, il file malevolo attiva il malware StealerBot attraverso tecniche di DLL side-loading. Questo malware, secondo le analisi degli esperti, è sviluppato in .NET e possiede funzionalità avanzate, tra cui la possibilità di scaricare ulteriori strumenti dannosi, stabilire una shell inversa per il controllo remoto e raccogliere informazioni sensibili come screenshot, tasti digitati, password e file presenti sul sistema compromesso.

Caratteristiche della campagna e raccomandazioni

Una caratteristica distintiva di questa campagna è la precisione con cui gli attacchi sono stati diretti solo ai bersagli selezionati. SideWinder dimostra una notevole continuità operativa, senza lunghi periodi di inattività, segno di una struttura organizzativa solida e di intenzioni persistenti. L'impiego di tecniche di spear phishing abbinate a exploit di vulnerabilità datate, ma ancora efficaci in ambienti non aggiornati, sottolinea l'importanza di mantenere sempre aggiornati i software e rafforzare la consapevolezza del personale sui rischi delle email sospette.

La vicenda conferma come i gruppi APT siano in grado di combinare vecchie vulnerabilità con nuove strategie di attacco, puntando a settori strategici della pubblica amministrazione per ottenere informazioni sensibili e mantenere il controllo all'interno delle reti governative.