SideWinder APT
Jūrų ir logistikos įmonės Pietų ir Pietryčių Azijoje, Afrikoje ir Artimuosiuose Rytuose tapo pagrindiniais pažangios nuolatinės grėsmės (APT) grupės, žinomos kaip SideWinder, taikiniais. Naujausi kibernetinės atakos, pastebėtos 2024 m., paveikė organizacijas Bangladeše, Kambodžoje, Džibutyje, Egipte, Jungtiniuose Arabų Emyratuose ir Vietname.
Be jūrų sektorių, „SideWinder“ taip pat atkreipė dėmesį į atomines elektrines ir branduolinės energijos infrastruktūrą Pietų Azijoje ir Afrikoje. Kitos paveiktos pramonės šakos apima telekomunikacijas, konsultacijas, IT paslaugas, nekilnojamojo turto agentūras ir net svetingumo sektorius, pavyzdžiui, viešbučius.
Turinys
Diplomatiniai taikiniai ir Indijos ryšys
Žymiai išplėtusi savo atakų pėdsaką, SideWinder taip pat pradėjo kibernetines operacijas prieš diplomatinius subjektus Afganistane, Alžyre, Bulgarijoje, Kinijoje, Indijoje, Maldyvuose, Ruandoje, Saudo Arabijoje, Turkijoje ir Ugandoje. Konkretus grupės taikymas į Indiją yra reikšmingas, atsižvelgiant į ankstesnes spėliones, kad grėsmės veikėjas gali būti Indijos kilmės.
Nuolat besivystantis ir nepagaunamas priešas
„SideWinder“ yra žinomas dėl savo nuolatinės evoliucijos, o ekspertai jį apibūdina kaip „labai pažengusį ir pavojingą priešą“. Grupė nuosekliai tobulina savo įrankių rinkinius, vengia saugos programinės įrangos aptikimo ir užtikrina ilgalaikį išlikimą pažeistuose tinkluose, sumažindama savo skaitmeninį pėdsaką.
StealerBot: mirtinas šnipinėjimo įrankis
2024 m. spalio mėn. kibernetinio saugumo tyrėjai atliko nuodugnią „SideWinder“ analizę ir atskleidė, kad ji naudoja „StealerBot“ – modulinį įrankių rinkinį po išnaudojimo, skirtą jautriems duomenims iš pažeistų sistemų išgauti. „SideWinder“ susidomėjimas jūrų pramone anksčiau buvo užfiksuotas 2024 m. liepos mėn., pabrėžiant jos atkaklų ir kryptingą požiūrį.
Atakos metodas: sukčiavimas ir išnaudojimai
Naujausi išpuoliai vyksta pagal pažįstamą modelį. Sukčiavimo el. laiškai yra pradinis užkrėtimo vektorius, pernešantis nesaugius dokumentus, kuriuose išnaudojamas gerai žinomas „Microsoft Office“ pažeidžiamumas (CVE-2017-11882). Atidarius šiuos dokumentus, suaktyvinama kelių etapų seka, galiausiai įdiegiama .NET atsisiuntimo programa, pavadinta ModuleInstaller, kuri savo ruožtu paleidžia „StealerBot“.
Tyrėjai patvirtino, kad daugelyje viliojimo dokumentų nurodomos branduolinės energijos agentūros, atominės elektrinės, jūrų infrastruktūra ir uostų administracijos, o tai rodo labai strateginį požiūrį į kritines pramonės šakas.
Prisitaikymas, kad nepralenktumėte saugumo priemonių
SideWinder aktyviai stebi savo kenkėjiškų programų saugos aptikimą. Nustačius įrankius, grupė greitai sukuria naujas modifikuotas versijas – kartais per kelias valandas. Jei saugos sprendimai pažymi jų elgesį, jie reaguoja keisdami atkaklumo metodus, failų pavadinimus ir kelius bei koreguodami kenksmingų komponentų įkėlimą.
Nuolat tobulindama savo atakos metodus ir greitai prisitaikydama prie atsakomųjų priemonių, „SideWinder“ išlieka nuolatine ir besivystančia kibernetine grėsme pagrindinėms pramonės šakoms visame pasaulyje.
