APT-SideWinder
Firmy morskie i logistyczne w Azji Południowej i Południowo-Wschodniej, Afryce i na Bliskim Wschodzie stały się głównymi celami grupy zaawansowanych trwałych zagrożeń (APT) znanej jako SideWinder. Ostatnie cyberataki zaobserwowane w 2024 r. dotknęły organizacje w Bangladeszu, Kambodży, Dżibuti, Egipcie, Zjednoczonych Emiratach Arabskich i Wietnamie.
Oprócz sektorów morskich SideWinder skupił się również na elektrowniach jądrowych i infrastrukturze energetyki jądrowej w Azji Południowej i Afryce. Inne dotknięte sektory to telekomunikacja, doradztwo, usługi IT, agencje nieruchomości, a nawet sektory hotelarskie, takie jak hotele.
Spis treści
Cele dyplomatyczne i powiązania z Indiami
W ramach znaczącego rozszerzenia swojego zasięgu ataków, SideWinder rozpoczął również cyberoperacje przeciwko podmiotom dyplomatycznym w Afganistanie, Algierii, Bułgarii, Chinach, Indiach, Malediwach, Rwandzie, Arabii Saudyjskiej, Turcji i Ugandzie. Konkretne ukierunkowanie grupy na Indie jest znaczące, biorąc pod uwagę wcześniejsze spekulacje, że aktor zagrożenia może być pochodzenia indyjskiego.
Ciągle ewoluujący i nieuchwytny przeciwnik
SideWinder znany jest ze swojej ciągłej ewolucji, a eksperci opisują go jako „niezwykle zaawansowanego i niebezpiecznego przeciwnika”. Grupa nieustannie udoskonala swoje zestawy narzędzi, unika wykrycia przez oprogramowanie zabezpieczające i zapewnia sobie długoterminową trwałość w naruszonych sieciach, minimalizując jednocześnie swój cyfrowy ślad.
StealerBot: Zabójcze narzędzie szpiegowskie
W październiku 2024 r. badacze cyberbezpieczeństwa przeprowadzili dogłębną analizę SideWinder, ujawniając, że firma korzysta ze StealerBot — modułowego zestawu narzędzi poeksploatacyjnych zaprojektowanego w celu wyodrębnienia poufnych danych z naruszonych systemów. Zainteresowanie SideWinder branżą morską zostało udokumentowane wcześniej w lipcu 2024 r., co podkreśla jej wytrwałe i ukierunkowane podejście.
Metoda ataku: Spear-phishing i Exploity
Najnowsze ataki podążają znanym schematem. E-maile typu spear-phishing służą jako początkowy wektor infekcji, przenosząc niebezpieczne dokumenty wykorzystujące dobrze znaną lukę w zabezpieczeniach pakietu Microsoft Office (CVE-2017-11882). Po otwarciu dokumenty te uruchamiają wieloetapową sekwencję, ostatecznie wdrażając program do pobierania .NET o nazwie ModuleInstaller, który z kolei uruchamia StealerBot.
Badacze potwierdzili, że wiele dokumentów wabiących odnosi się do agencji energetyki jądrowej, elektrowni jądrowych, infrastruktury morskiej i władz portowych, co wskazuje na bardzo strategiczne podejście do atakowania kluczowych gałęzi przemysłu.
Dostosowywanie się w celu wyprzedzenia środków bezpieczeństwa
SideWinder aktywnie monitoruje wykrywanie zagrożeń bezpieczeństwa swojego złośliwego oprogramowania. Po zidentyfikowaniu narzędzi grupa szybko opracowuje nowe, zmodyfikowane wersje — czasami w ciągu zaledwie kilku godzin. Jeśli rozwiązania bezpieczeństwa sygnalizują ich zachowanie, reagują, zmieniając techniki trwałości, zmieniając nazwy plików i ścieżki oraz dostosowując sposób ładowania szkodliwych komponentów.
Dzięki ciągłemu udoskonalaniu swoich metod ataków i szybkiemu dostosowywaniu się do środków zaradczych, SideWinder pozostaje trwałym i rozwijającym się zagrożeniem cybernetycznym dla najważniejszych branż na całym świecie.
