SideWinder APT
Jūrniecības un loģistikas uzņēmumi Dienvidāzijā un Dienvidaustrumāzijā, Āfrikā un Tuvajos Austrumos ir kļuvuši par galvenajiem mērķiem progresīvai pastāvīgu draudu (APT) grupai, kas pazīstama kā SideWinder. Nesenie kiberuzbrukumi, kas novēroti 2024. gadā, ir skāruši organizācijas Bangladešā, Kambodžā, Džibutijā, Ēģiptē, Apvienotajos Arābu Emirātos un Vjetnamā.
Papildus jūrniecības nozarēm SideWinder ir pievērsis uzmanību arī kodolspēkstacijām un kodolenerģijas infrastruktūrai Dienvidāzijā un Āfrikā. Citas skartās nozares ir telekomunikācijas, konsultācijas, IT pakalpojumi, nekustamā īpašuma aģentūras un pat viesmīlības nozares, piemēram, viesnīcas.
Satura rādītājs
Diplomātiskie mērķi un Indijas savienojums
Ievērojami paplašinot savu uzbrukumu nospiedumu, SideWinder ir arī uzsācis kiberoperācijas pret diplomātiskajām struktūrām Afganistānā, Alžīrijā, Bulgārijā, Ķīnā, Indijā, Maldīvu salās, Ruandā, Saūda Arābijā, Turcijā un Ugandā. Grupas specifiskā mērķauditorija pret Indiju ir nozīmīga, ņemot vērā iepriekš izskanējušo pieņēmumu, ka apdraudētā persona varētu būt Indijas izcelsmes.
Nepārtraukti attīstās un nenotverams pretinieks
SideWinder ir pazīstams ar savu nepārtraukto attīstību, un eksperti to raksturo kā "ļoti progresīvu un bīstamu pretinieku". Grupa konsekventi uzlabo savus rīkus, izvairās no drošības programmatūras noteikšanas un nodrošina ilgstošu noturību apdraudētos tīklos, vienlaikus samazinot savu digitālo pēdu.
StealerBot: nāvējošs spiegošanas rīks
2024. gada oktobrī kiberdrošības pētnieki veica SideWinder padziļinātu analīzi, atklājot, ka tajā tiek izmantots StealerBot — modulārs pēcekspluatācijas rīku komplekts, kas paredzēts sensitīvu datu iegūšanai no apdraudētām sistēmām. SideWinder interese par jūrniecības nozari iepriekš tika dokumentēta 2024. gada jūlijā, uzsverot tās neatlaidīgo un mērķtiecīgo pieeju.
Uzbrukuma metode: šķēpu pikšķerēšana un izmantošana
Jaunākie uzbrukumi seko pazīstamam modelim. Pikšķerēšanas e-pasta ziņojumi kalpo kā sākotnējais infekcijas pārnēsātājs, kas satur nedrošus dokumentus, kas izmanto labi zināmo Microsoft Office ievainojamību (CVE-2017-11882). Pēc atvēršanas šie dokumenti aktivizē daudzpakāpju secību, galu galā izvietojot .NET lejupielādētāju ar nosaukumu ModuleInstaller, kas savukārt palaiž StealerBot.
Pētnieki ir apstiprinājuši, ka daudzi pievilināšanas dokumenti atsaucas uz kodolenerģijas aģentūrām, atomelektrostacijām, jūras infrastruktūru un ostu iestādēm, norādot uz ļoti stratēģisku pieeju kritisko nozaru mērķēšanai.
Pielāgošanās, lai būtu priekšā drošības pasākumiem
SideWinder aktīvi uzrauga savas ļaunprātīgās programmatūras drošības noteikšanu. Kad rīki ir identificēti, grupa ātri izstrādā jaunas, modificētas versijas — dažkārt dažu stundu laikā. Ja drošības risinājumi atzīmē savu rīcību, tie reaģē, mainot noturības metodes, mainot failu nosaukumus un ceļus un pielāgojot kaitīgo komponentu ielādi.
Nepārtraukti pilnveidojot savas uzbrukuma metodes un strauji pielāgojoties pretpasākumiem, SideWinder joprojām ir pastāvīgs un mainīgs kiberdrauds galvenajām nozarēm visā pasaulē.
