ไซด์วินเดอร์ APT

บริษัทเดินเรือและโลจิสติกส์ในเอเชียใต้และเอเชียตะวันออกเฉียงใต้ แอฟริกา และตะวันออกกลาง กลายเป็นเป้าหมายหลักของกลุ่มภัยคุกคามขั้นสูงที่ต่อเนื่อง (APT) ที่เรียกว่า SideWinder การโจมตีทางไซเบอร์ล่าสุดที่ตรวจพบในปี 2024 ส่งผลกระทบต่อองค์กรในบังกลาเทศ กัมพูชา จิบูตี อียิปต์ สหรัฐอาหรับเอมิเรตส์ และเวียดนาม

นอกเหนือจากภาคส่วนทางทะเลแล้ว SideWinder ยังตั้งเป้าไปที่โรงไฟฟ้านิวเคลียร์และโครงสร้างพื้นฐานพลังงานนิวเคลียร์ทั่วเอเชียใต้และแอฟริกา อุตสาหกรรมอื่นๆ ที่ได้รับผลกระทบ ได้แก่ โทรคมนาคม ที่ปรึกษา บริการไอที ตัวแทนอสังหาริมทรัพย์ และแม้แต่ภาคส่วนการต้อนรับ เช่น โรงแรม

เป้าหมายทางการทูตและการเชื่อมโยงอินเดีย

SideWinder ขยายขอบเขตการโจมตีอย่างเห็นได้ชัด โดยได้เปิดปฏิบัติการทางไซเบอร์ต่อหน่วยงานการทูตในอัฟกานิสถาน แอลจีเรีย บัลแกเรีย จีน อินเดีย มัลดีฟส์ รวันดา ซาอุดีอาระเบีย ตุรกี และยูกันดา การโจมตีเฉพาะกลุ่มนี้ต่ออินเดียถือเป็นเรื่องสำคัญ เนื่องจากก่อนหน้านี้มีการคาดเดาว่าผู้ก่อภัยคุกคามอาจมีเชื้อสายอินเดีย

ศัตรูที่พัฒนาอย่างต่อเนื่องและจับต้องไม่ได้

SideWinder เป็นที่รู้จักในด้านการพัฒนาอย่างต่อเนื่อง โดยผู้เชี่ยวชาญได้บรรยายถึง SideWinder ว่าเป็น "ศัตรูที่ก้าวหน้าและอันตรายอย่างมาก" กลุ่มนี้ปรับปรุงชุดเครื่องมือ หลีกเลี่ยงการตรวจจับของซอฟต์แวร์ความปลอดภัย และรับประกันการคงอยู่ระยะยาวภายในเครือข่ายที่ถูกบุกรุกในขณะที่ลดรอยเท้าดิจิทัลให้เหลือน้อยที่สุด

StealerBot: เครื่องมือจารกรรมที่อันตราย

ในเดือนตุลาคม 2024 นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ทำการวิเคราะห์ SideWinder อย่างละเอียด และเผยให้เห็นถึงการใช้ StealerBot ซึ่งเป็นชุดเครื่องมือหลังการใช้ประโยชน์แบบแยกส่วนที่ออกแบบมาเพื่อดึงข้อมูลที่ละเอียดอ่อนจากระบบที่ถูกบุกรุก ความสนใจของ SideWinder ในอุตสาหกรรมการเดินเรือได้รับการบันทึกไว้ก่อนหน้านี้ในเดือนกรกฎาคม 2024 ซึ่งเน้นย้ำถึงแนวทางที่มุ่งมั่นและมุ่งเน้นของบริษัท

วิธีการโจมตี: การฟิชชิ่งแบบเจาะจงและการใช้ประโยชน์

การโจมตีล่าสุดนั้นดำเนินไปตามรูปแบบที่คุ้นเคย อีเมลฟิชชิ่งแบบเจาะจงทำหน้าที่เป็นช่องทางการติดเชื้อเบื้องต้น โดยส่งเอกสารที่ไม่ปลอดภัยซึ่งใช้ประโยชน์จากช่องโหว่ที่เป็นที่รู้จักดีของ Microsoft Office (CVE-2017-11882) เมื่อเปิดเอกสารเหล่านี้แล้ว เอกสารเหล่านี้จะกระตุ้นลำดับขั้นตอนหลายขั้นตอน ซึ่งสุดท้ายแล้วจะใช้ตัวดาวน์โหลด .NET ชื่อ ModuleInstaller ซึ่งจะเปิดใช้งาน StealerBot

นักวิจัยยืนยันแล้วว่าเอกสารล่อใจหลายฉบับอ้างอิงถึงหน่วยงานพลังงานนิวเคลียร์ โรงไฟฟ้านิวเคลียร์ โครงสร้างพื้นฐานทางทะเล และท่าเรือ ซึ่งบ่งบอกถึงแนวทางเชิงกลยุทธ์ที่เข้มข้นในการกำหนดเป้าหมายอุตสาหกรรมที่สำคัญ

ปรับตัวเพื่อก้าวล้ำหน้ามาตรการรักษาความปลอดภัย

SideWinder คอยตรวจสอบการตรวจจับมัลแวร์ด้านความปลอดภัยอย่างแข็งขัน เมื่อระบุเครื่องมือได้แล้ว กลุ่มดังกล่าวจะพัฒนาเวอร์ชันใหม่ที่แก้ไขอย่างรวดเร็ว ซึ่งบางครั้งใช้เวลาเพียงไม่กี่ชั่วโมง หากโซลูชันด้านความปลอดภัยตรวจพบพฤติกรรมดังกล่าว โซลูชันจะตอบสนองโดยเปลี่ยนเทคนิคความคงอยู่ เปลี่ยนชื่อไฟล์และเส้นทาง และปรับเปลี่ยนวิธีการโหลดส่วนประกอบที่เป็นอันตราย

ด้วยการปรับปรุงวิธีการโจมตีอย่างต่อเนื่องและปรับตัวรับมือมาตรการตอบโต้อย่างรวดเร็ว SideWinder ยังคงเป็นภัยคุกคามทางไซเบอร์ที่ต่อเนื่องและมีการเปลี่ยนแปลงอยู่ตลอดเวลาต่ออุตสาหกรรมหลักทั่วโลก