Selon le Trellix Advanced Research Center (blog de recherche), une campagne d’espionnage sophistiquée attribuée à SideWinder APT a visé des entités gouvernementales au Sri Lanka, Pakistan, Bangladesh ainsi que des missions diplomatiques en Inde. L’opération, conduite en plusieurs vagues, combine phishing, chaînes d’infection PDF/ClickOnce et des exploits Word traditionnels.
L’attaque commence par des emails piégés contenant des PDF incitant à télécharger de fausses mises à jour Adobe Reader. Ces leurres livrent des applications ClickOnce signées avec des certificats légitimes MagTek, abusés pour un DLL sideloading. Les auteurs ont également recours à des exploits Word (p. ex. CVE‑2017‑0199) dans des scénarios plus classiques.
Sur le plan technique, DEVOBJ.dll est utilisé pour sideloader et déchiffrer par XOR des charges utiles (clé dérivée des 42 premiers octets). Un App.dll sert de chargeur et récupère ModuleInstaller, qui profile la machine puis télécharge TapiUnattend.exe, wdscore.dll et des fichiers chiffrés. La dernière étape charge le malware StealerBot, à architecture modulaire via plugins.
L’infrastructure met en œuvre des mécanismes d’évasion avancés: geofencing restreignant la livraison aux régions ciblées, génération d’URL dynamiques par session, fenêtres de disponibilité éphémères et charges polymorphes pour compliquer l’analyse et la détection.
IOCs et TTPs clés:
- Fichiers/artefacts: DEVOBJ.dll, App.dll, ModuleInstaller, TapiUnattend.exe, wdscore.dll, StealerBot
- Détournement de signature: applications signées MagTek pour DLL sideloading
- Vecteurs: PDF avec fausses mises à jour Adobe Reader ; ClickOnce ; exploits Word (CVE‑2017‑0199)
- Techniques: phishing ciblé, DLL sideloading, XOR pour déchiffrement, plugins modulaires, geofencing, polymorphisme, URLs dynamiques, livraisons à durée limitée
Type: publication de recherche visant à documenter les TTPs, la chaîne d’infection et l’infrastructure de la campagne.
🔗 Source originale : https://www.trellix.com/blogs/research/sidewinders-shifting-sands-click-once-for-espionage/