SideWinder APT
Морські та логістичні компанії в Південній та Південно-Східній Азії, Африці та на Близькому Сході стали головними цілями групи передових постійних загроз (APT), відомої як SideWinder. Останні кібератаки, які спостерігалися у 2024 році, вплинули на організації в Бангладеш, Камбоджі, Джибуті, Єгипті, Об’єднаних Арабських Еміратах і В’єтнамі.
Крім морських секторів, SideWinder також націлився на атомні електростанції та інфраструктуру ядерної енергетики в Південній Азії та Африці. Інші постраждалі галузі включають телекомунікації, консалтинг, ІТ-послуги, агентства нерухомості та навіть сектори гостинності, такі як готелі.
Зміст
Дипломатичні цілі та індійські зв'язки
Помітно розширивши коло своїх атак, SideWinder також почав кібероперації проти дипломатичних установ в Афганістані, Алжирі, Болгарії, Китаї, Індії, Мальдівах, Руанді, Саудівській Аравії, Туреччині та Уганді. Конкретний націлювання групи на Індію є значним, враховуючи попередні припущення, що загрозливий актор може бути індійського походження.
Невловимий супротивник, що постійно розвивається
SideWinder відомий своєю безперервною еволюцією, і експерти описують його як «дуже просунутого та небезпечного противника». Група постійно покращує свої набори інструментів, уникає виявлення програмного забезпечення безпеки та забезпечує довгострокову стійкість у скомпрометованих мережах, мінімізуючи свій цифровий слід.
StealerBot: смертельний інструмент шпигунства
У жовтні 2024 року дослідники з кібербезпеки провели поглиблений аналіз SideWinder, виявивши використання StealerBot — модульного набору інструментів після експлуатації, призначеного для вилучення конфіденційних даних із зламаних систем. Інтерес SideWinder до морської галузі був раніше задокументований у липні 2024 року, підкреслюючи його наполегливий і цілеспрямований підхід.
Метод атаки: фішинг і експлойти
Останні атаки відбуваються за знайомою схемою. Початковим вектором зараження служать фішингові електронні листи, які містять небезпечні документи, які використовують відому вразливість Microsoft Office (CVE-2017-11882). Після відкриття ці документи запускають багатоетапну послідовність, зрештою розгортаючи завантажувач .NET під назвою ModuleInstaller, який, у свою чергу, запускає StealerBot.
Дослідники підтвердили, що в багатьох документах-приманках згадуються агентства ядерної енергетики, атомні електростанції, морська інфраструктура та портові адміністрації, що вказує на дуже стратегічний підхід до націлювання на критичні галузі.
Адаптація, щоб випереджати заходи безпеки
SideWinder активно відстежує виявлення шкідливих програм безпеки. Після визначення інструментів група швидко розробляє нові модифіковані версії — іноді протягом кількох годин. Якщо рішення безпеки позначають їхню поведінку, вони реагують, змінюючи методи збереження, змінюючи імена файлів і шляхи, а також регулюючи спосіб завантаження шкідливих компонентів.
Постійно вдосконалюючи методи атак і швидко адаптуючись до контрзаходів, SideWinder залишається постійною кіберзагрозою для ключових галузей у всьому світі.
