g0121-sidewinder - RunkIntel

# Sidewinder ## Visão Geral Sidewinder e um grupo de APT com nexo presumivelmente **indiano**, ativo desde pelo menos 2012. E um dos grupos de ameaça persistente mais prolíficos da Asia do Sul, com foco historico em entidades governamentais e militares no Paquistao, China, Nepal e Afeganistao. Em 2024-2025, o grupo demonstrou expansao dramatica de vitimologia: alvos nos setores **maritimo**, **energia nuclear**, **logistica** e **diplomatico** em novos continentes, incluindo Africa e Oriente Medio. A Kaspersky o descreve como "adversario altamente avancado e perigoso" - apesar do uso de exploits públicos, suas capacidades reais so se tornam aparentes ao examinar os detalhes operacionais em profundidade. > [!warning] Capacidade de Adaptacao Rapida > O Sidewinder monitora constantemente deteccoes de seu toolset por soluções de segurança. Uma vez identificadas, as ferramentas sao regeneradas e modificadas - frequentemente em **menos de 5 horas**. Essa capacidade de resposta rapida torna o grupo excepcionalmente dificil de bloquear por assinaturas. **Também conhecido como:** Rattlesnake, APT-C-17, Razor Tiger, Baby Elephant, T-APT-04, Hardcore Nationalist ## Attack Flow - Campanha Maritima/Nuclear (2024-2025) ```mermaid graph TB A["📧 Spear-phishing Email com tema maritimo ou nuclear específico"] --> B["📎 Documento Malicioso Word/ZIP com LNK ou anexo Office"] B --> C["💥 Exploração CVE-2017-11882 Equation Editor ou CVE-2017-0199"] C --> D["📥 ModuleInstaller Downloader .NET busca payload remoto"] D --> E["🤖 StealerBot Toolkit modular de pos-exploração"] E --> F["🔒 Persistência Registry run keys Startup folder"] F --> G["📤 Exfiltração HTTP C2 Coleta automatizada"] classDef phish fill:#c0392b,color:#fff,stroke:#922b21 classDef doc fill:#e67e22,color:#fff,stroke:#d35400 classDef exploit fill:#f39c12,color:#fff,stroke:#d68910 classDef download fill:#8e44ad,color:#fff,stroke:#6c3483 classDef stealerbot fill:#1a5276,color:#fff,stroke:#154360 classDef persist fill:#27ae60,color:#fff,stroke:#1e8449 classDef exfil fill:#922b21,color:#fff,stroke:#7b241c class A phish class B doc class C exploit class D download class E stealerbot class F persist class G exfil ``` ## Timeline de Expansao Geografica ```mermaid timeline title Sidewinder - Expansao de Targeting 2012 : Atividade inicial : Foco em Paquistao e Nepal 2018 : Divulgacao publica do grupo 2023 : Campanha maritima inicial : Portos no Oceano Indico Jul 2024 : Expansao para Mar Mediterraneo : Porto de Alexandria e Mar Vermelho Out 2024 : StealerBot revelado : Expansao Oriente Medio e Africa : Bangladesh, Djibouti, UAE, Jordan Mar 2025 : Alvos de energia nuclear : Usinas nucleares Sul Asia Africa : Expansao para Mocambique e outros ``` ## Campanhas Recentes ### Expansao para Setor Maritimo e Nuclear (2024-2025) Em 2024, a Kaspersky documentou a expansao dramatica do Sidewinder para novos setores e regioes: **Setor maritimo:** - Autoridades portuarias no Oceano Indico e Mar Mediterraneo (Porto de Alexandria, Porto Mar Vermelho) - Empresas de logistica maritima no Bangladesh, Myanmar, Nepal, Sri Lanka - Iscas específicas: documentos de "protocolos de segurança maritima", regulamentos de autoridades portuarias **Energia nuclear:** - Usinas nucleares e agencias de energia nuclear na Asia do Sul e Africa - Iscas específicas com referência a infraestrutura nuclear **Setores adicionais:** telecomúnicacoes, consultoria, TI, agencias imobiliarias, hoteis **Amplitude geografica (2024):** Bangladesh, Cambodia, Djibouti, Egito, Indonesia, Mocambique, Myanmar, Nepal, Paquistao, Filipinas, Sri Lanka, UAE, Vietnam e Austria ### Campanha de Espionagem Diplomatica Alvos diplomaticos em: Afeganistao, Algeria, Bulgaria, China, India, Maldivas, Rwanda, Arabia Saudita, Turquia, Uganda > [!info] Targeting da India > O fato de a India aparecer como alvo diplomatico e significativo, dado que o Sidewinder e presumivelmente de origem indiana. Pode refletir espionagem contra faccoes politicas opostas ou operações de false flag. ## Arsenal Tecnico ### StealerBot - Toolkit Modular de Pos-Exploração O **StealerBot**, revelado pela Kaspersky em outubro de 2024, e o desenvolvimento mais significativo do arsenal do grupo. E um toolkit de pos-exploração modular projetado específicamente para espionagem: - Arquitetura modular: módulos adicionados seletivamente conforme necessário em cada alvo - 8 módulos documentados com funcionalidades específicas - Coleta: capturas de tela, keylogging, credenciais, historico de browsers, arquivos de interesse - Comúnicação com C2 via HTTP com ofuscacao ### Cadeia de Infecção (Multi-Estagio) 1. **Spear-phishing** com documento Office ou ZIP com LNK especialmente preparado 2. **Templaté injection remota** para baixar arquivo RTF do servidor do atacante 3. **CVE-2017-11882** (Equation Editor) - explorado via RTF para executar JavaScript 4. **ModuleInstaller** (.NET downloader) - responsavel por baixar e instalar o StealerBot 5. **StealerBot** - toolkit final de espionagem ### Malware Documentado - [[stealerbot|StealerBot]] - Toolkit modular de pos-exploração (2024) - [[moduleinstaller|ModuleInstaller]] - Downloader .NET (estagio intermediario) - [[s0250-koadic|Koadic]] - Framework de post-exploitation (uso anterior) ### CVEs Explorados - [[cve-2017-11882|CVE-2017-11882]] - Microsoft Office Equation Editor RCE (ainda amplamente explorado) - [[cve-2017-0199|CVE-2017-0199]] - Microsoft Office HTA Handler RCE ## TTPs Mapeadas no MITRE ATT&CK ### Acesso Inicial - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - Links maliciosos em emails de spear-phishing - [[t1598-002-spearphishing-attachment|T1598.002 - Spearphishing Attachment]] - Anexos maliciosos com iscas tematicas específicas (maritimo, nuclear, militar) - [[t1598-003-spearphishing-link|T1598.003 - Spearphishing Link]] - Links para dominios de phishing ### Execução - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - Exploração de CVE-2017-11882 e CVE-2017-0199 ao abrir documentos - [[t1059-007-javascript|T1059.007 - JavaScript]] - Execução de JavaScript intermediario na cadeia - [[t1059-001-powershell|T1059.001 - PowerShell]] - Scripts PowerShell em etapas da infecção - [[t1559-002-dynamic-data-exchange|T1559.002 - Dynamic Data Exchange]] - DDE para execução de código - [[t1218-005-mshta|T1218.005 - Mshta]] - Abuso do mshta.exe para execução de HTML applications ### Persistência e Evasão - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys]] - Persistência via registro Windows e startup folder - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - Payloads cifrados para evasão de detecção - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - Ofuscacao de comandos - [[t1480-execution-guardrails|T1480 - Execution Guardrails]] - Guardrails de execução para limitar análise de sandbox - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode]] - Decodificacao de payloads em runtime ### Reconhecimento e Coleta - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - Identificação de soluções de segurança instaladas - [[t1057-process-discovery|T1057 - Process Discovery]] - Listagem de processos - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - Descoberta de arquivos de interesse - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - Informacoes de rede - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - Verificação de timezone (guardrail anti-sandbox) - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - Staging de dados antes da exfiltração ### Exfiltração - [[t1020-automated-exfiltration|T1020 - Automated Exfiltration]] - Exfiltração automatizada via StealerBot - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - Comúnicação C2 via HTTP - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - Download de ferramentas adicionais ## Indicadores de Compromisso **Dominios documentados (públicos):** - `pmd-office.info` - `modpak.info` - `dirctt888.info` - `file-dwnld.org` - `defencearmy.pro` - `document-viewer.info` **Comportamentos:** - Conexoes a dominios que imitam organizacoes governamentais ou militares de paises alvo - Processos .NET lancando conexoes HTTP incomuns - Modificacoes em chaves Run do Registro por documentos Office ## Detecção > [!tip] Foco em Comportamento, Nao em Assinaturas > O Sidewinder gera novas versoes de malware em menos de 5 horas após detecção. Regras de assinatura ficam obsoletas rapidamente - priorizar detecção comportamental. **Prioridade alta:** - Documentos Office lançando processos .NET inesperados (`ModuleInstaller` padrao) - Exploração de CVE-2017-11882: processos `EQNEDT32.EXE` iniciando conexoes de rede - Downloads HTTP por processos Office ou .NET para dominios externos - Modificacoes em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` por aplicações Office **Regras comportamentais:** - Alertar: `EQNEDT32.EXE` gerando conexoes de rede (CVE-2017-11882) - Alertar: documentos Word/ZIP com arquivos LNK internos - Monitorar: processos .NET baixando e executando payloads de URLs externas ## Relevância para o Brasil e LATAM O Sidewinder apresenta risco **crescente** para o Brasil, apesar do foco historico em Asia do Sul: **Fatores de risco:** - Expansao documentada para Africa e Oriente Medio - tendencia de crescimento geografico continuo - Interesse em **setor maritimo** relevante para Brasil (maior costa maritima da América Latina, Porto de Santos, Porto de Itaguai) - Interesse em **setor de energia** relevante para [[energy|infraestrutura critica]] brasileira (Angra dos Reis, Eletronuclear) - Organizacoes brasileiras com operações no Indo-Pacifico ou relacoes diplomaticas com paises alvo O padrao de expansao do grupo - de Asia do Sul para Oriente Medio, depois Africa - sugere que a América Latina pode ser o proximo horizonte operacional. **Setores brasileiros em aténcao:** - [[maritime|Portos e logistica maritima]] - Porto de Santos, Suape, Pecém - [[energy|Energia nuclear]] - Eletronuclear, Angra I e II - [[government|Entidades diplomaticas]] com representacao em paises alvo do grupo - [[military|Defesa]] - ForcasArmadas com operações no Atlantico Sul ## Referências - [MITRE ATT&CK - G0121 SideWinder](https://attack.mitre.org/groups/G0121) - [Kaspersky: SideWinder Maritime and Nuclear Targets (Mar 2025)](https://thehackernews.com/2025/03/sidewinder-apt-targets-maritime-nuclear.html) - [Kaspersky Securelist: SideWinder APT H2 2024 (Mar 2025)](https://securelist.com/sidewinder-apt-updates-its-toolset-and-targets-nuclear-sector/115847/) - [Kaspersky: SideWinder StealerBot (Out 2024)](https://thehackernews.com/2024/10/sidewinder-apt-strikes-middle-east-and.html) - [BlackBerry: SideWinder Maritime Campaign (Jul 2024)](https://blogs.blackberry.com/en/2024/07/sidewinder-targets-ports-and-maritime-facilities-in-the-mediterranean-sea)