SideWinder APT

شرکت‌های دریایی و لجستیک در جنوب و جنوب شرق آسیا، آفریقا و خاورمیانه به اهداف اصلی گروه تهدید مداوم پیشرفته (APT) معروف به SideWinder تبدیل شده‌اند. حملات سایبری اخیر مشاهده شده در سال 2024 بر سازمان هایی در بنگلادش، کامبوج، جیبوتی، مصر، امارات متحده عربی و ویتنام تأثیر گذاشته است.

فراتر از بخش های دریایی، SideWinder همچنین به نیروگاه های هسته ای و زیرساخت های انرژی هسته ای در سراسر آسیای جنوبی و آفریقا توجه کرده است. سایر صنایع آسیب دیده شامل ارتباطات راه دور، مشاوره، خدمات فناوری اطلاعات، آژانس های املاک و حتی بخش های مهمان نوازی مانند هتل ها است.

اهداف دیپلماتیک و ارتباط هند

SideWinder در گسترش قابل توجه ردپای حملات خود، همچنین عملیات سایبری را علیه نهادهای دیپلماتیک در افغانستان، الجزایر، بلغارستان، چین، هند، مالدیو، رواندا، عربستان سعودی، ترکیه و اوگاندا آغاز کرده است. با توجه به گمانه زنی های قبلی مبنی بر اینکه عامل تهدید ممکن است منشاء هندی داشته باشد، هدف گیری خاص این گروه از هند قابل توجه است.

یک دشمن دائما در حال تکامل و گریزان

SideWinder به دلیل تکامل مداوم خود شناخته شده است و کارشناسان آن را به عنوان یک "رقیب بسیار پیشرفته و خطرناک" توصیف می کنند. این گروه به طور مداوم مجموعه‌های ابزار خود را بهبود می‌بخشد، از تشخیص نرم‌افزارهای امنیتی طفره می‌رود، و پایداری طولانی‌مدت در شبکه‌های در معرض خطر را تضمین می‌کند و در عین حال ردپای دیجیتالی خود را به حداقل می‌رساند.

StealerBot: ابزار جاسوسی کشنده

در اکتبر 2024، محققان امنیت سایبری تجزیه و تحلیل عمیقی از SideWinder انجام دادند و استفاده از StealerBot را آشکار کردند - یک جعبه ابزار مدولار پس از بهره برداری که برای استخراج داده های حساس از سیستم های در معرض خطر طراحی شده است. علاقه SideWinder به صنعت دریایی قبلاً در جولای 2024 ثبت شده بود و رویکرد مداوم و متمرکز آن را برجسته می کرد.

روش حمله: Spear-phishing و Exploits

آخرین حملات از یک الگوی آشنا پیروی می کنند. ایمیل‌های فیشینگ به‌عنوان ناقل آلودگی اولیه عمل می‌کنند و اسناد ناامنی را حمل می‌کنند که از یک آسیب‌پذیری معروف Microsoft Office (CVE-2017-11882) سوء استفاده می‌کنند. پس از باز شدن، این اسناد یک دنباله چند مرحله‌ای را راه‌اندازی می‌کنند و در نهایت یک دانلودکننده دات‌نت به نام ModuleInstaller را راه‌اندازی می‌کنند که به نوبه خود StealerBot را راه‌اندازی می‌کند.

محققان تأیید کرده‌اند که بسیاری از اسناد فریب‌دهنده به آژانس‌های انرژی هسته‌ای، نیروگاه‌های هسته‌ای، زیرساخت‌های دریایی و مقامات بندری اشاره دارند - که نشان‌دهنده رویکرد بسیار استراتژیک برای هدف قرار دادن صنایع حیاتی است.

تطبیق برای جلوتر ماندن از اقدامات امنیتی

SideWinder به طور فعال تشخیص های امنیتی بدافزار خود را نظارت می کند. هنگامی که ابزارهای آن شناسایی شدند، گروه به سرعت نسخه های جدید و اصلاح شده را توسعه می دهد - گاهی اوقات در عرض چند ساعت. اگر راه‌حل‌های امنیتی رفتار خود را علامت‌گذاری کنند، با تغییر تکنیک‌های ماندگاری، تغییر نام فایل‌ها و مسیرها، و تنظیم نحوه بارگیری اجزای مضر پاسخ می‌دهند.

SideWinder با اصلاح مداوم روش‌های حمله و سازگاری سریع با اقدامات متقابل، همچنان یک تهدید سایبری دائمی و در حال تکامل برای صنایع کلیدی در سراسر جهان است.