SideWinder APT
Syarikat maritim dan logistik di Asia Selatan dan Tenggara, Afrika dan Timur Tengah telah menjadi sasaran utama kumpulan ancaman berterusan (APT) lanjutan yang dikenali sebagai SideWinder. Serangan siber baru-baru ini yang diperhatikan pada tahun 2024 telah memberi kesan kepada organisasi di Bangladesh, Kemboja, Djibouti, Mesir, Emiriah Arab Bersatu dan Vietnam.
Di luar sektor maritim, SideWinder juga telah meletakkan sasarannya pada loji kuasa nuklear dan infrastruktur tenaga nuklear di seluruh Asia Selatan dan Afrika. Industri lain yang terjejas termasuk telekomunikasi, perundingan, perkhidmatan IT, agensi hartanah dan juga sektor perhotelan seperti hotel.
Isi kandungan
Sasaran Diplomatik dan Hubungan India
Dalam perkembangan ketara jejak serangannya, SideWinder juga telah melancarkan operasi siber terhadap entiti diplomatik di Afghanistan, Algeria, Bulgaria, China, India, Maldives, Rwanda, Arab Saudi, Turki dan Uganda. Sasaran khusus kumpulan itu terhadap India adalah penting, memandangkan spekulasi sebelum ini bahawa pelakon ancaman itu mungkin berasal dari India.
Musuh Yang Sentiasa Berkembang dan Sukar Difahami
SideWinder terkenal dengan evolusi berterusannya, dengan pakar menyifatkan ia sebagai 'musuh yang sangat maju dan berbahaya.' Kumpulan itu secara konsisten meningkatkan set alatnya, mengelakkan pengesanan perisian keselamatan, dan memastikan kegigihan jangka panjang dalam rangkaian yang terjejas sambil meminimumkan jejak digitalnya.
StealerBot: Alat Pengintipan yang Mematikan
Pada Oktober 2024, penyelidik keselamatan siber menjalankan analisis mendalam SideWinder, mendedahkan penggunaan StealerBot—kit alatan pasca eksploitasi modular yang direka untuk mengekstrak data sensitif daripada sistem yang terjejas. Minat SideWinder dalam industri maritim sebelum ini telah didokumenkan pada Julai 2024, menonjolkan pendekatan berterusan dan fokusnya.
Kaedah Serangan: Spear-phishing dan Eksploitasi
Serangan terkini mengikut corak biasa. E-mel spear-phishing berfungsi sebagai vektor jangkitan awal, membawa dokumen tidak selamat yang mengeksploitasi kerentanan Microsoft Office yang terkenal (CVE-2017-11882). Setelah dibuka, dokumen ini mencetuskan urutan berbilang peringkat, akhirnya menggunakan pemuat turun .NET bernama ModuleInstaller, yang seterusnya melancarkan StealerBot.
Penyelidik telah mengesahkan bahawa banyak dokumen tarikan merujuk kepada agensi tenaga nuklear, loji kuasa nuklear, infrastruktur maritim dan pihak berkuasa pelabuhan—menunjukkan pendekatan yang sangat strategik untuk menyasarkan industri kritikal.
Menyesuaikan diri untuk Mendahului Langkah Keselamatan
SideWinder secara aktif memantau pengesanan keselamatan perisian hasadnya. Setelah alatnya dikenal pasti, kumpulan itu dengan pantas membangunkan versi baharu yang diubah suai—kadangkala dalam masa beberapa jam sahaja. Jika penyelesaian keselamatan membenderakan tingkah laku mereka, mereka bertindak balas dengan mengubah teknik kegigihan, menukar nama dan laluan fail dan melaraskan cara komponen berbahaya dimuatkan.
Dengan terus memperhalusi kaedah serangannya dan menyesuaikan diri dengan pantas kepada tindakan balas, SideWinder kekal sebagai ancaman siber yang berterusan dan berkembang kepada industri utama di seluruh dunia.
