APT SideWinder
Các công ty hàng hải và hậu cần ở Nam và Đông Nam Á, Châu Phi và Trung Đông đã trở thành mục tiêu chính của một nhóm đe dọa dai dẳng nâng cao (APT) được gọi là SideWinder. Các cuộc tấn công mạng gần đây được quan sát thấy vào năm 2024 đã tác động đến các tổ chức ở Bangladesh, Campuchia, Djibouti, Ai Cập, Các Tiểu vương quốc Ả Rập Thống nhất và Việt Nam.
Ngoài các ngành hàng hải, SideWinder cũng nhắm đến các nhà máy điện hạt nhân và cơ sở hạ tầng năng lượng hạt nhân trên khắp Nam Á và Châu Phi. Các ngành công nghiệp bị ảnh hưởng khác bao gồm viễn thông, tư vấn, dịch vụ CNTT, đại lý bất động sản và thậm chí cả các ngành dịch vụ khách sạn như khách sạn.
Mục lục
Mục tiêu ngoại giao và mối liên hệ với Ấn Độ
Trong một sự mở rộng đáng kể về dấu chân tấn công của mình, SideWinder cũng đã triển khai các hoạt động mạng chống lại các thực thể ngoại giao ở Afghanistan, Algeria, Bulgaria, Trung Quốc, Ấn Độ, Maldives, Rwanda, Ả Rập Xê Út, Thổ Nhĩ Kỳ và Uganda. Việc nhóm này nhắm mục tiêu cụ thể vào Ấn Độ là đáng kể, xét đến những suy đoán trước đó rằng tác nhân đe dọa có thể có nguồn gốc từ Ấn Độ.
Một kẻ thù liên tục tiến hóa và khó nắm bắt
SideWinder được biết đến với sự phát triển liên tục, khi các chuyên gia mô tả nó là "kẻ thù cực kỳ tiên tiến và nguy hiểm". Nhóm này liên tục cải tiến bộ công cụ của mình, tránh bị phát hiện bởi phần mềm bảo mật và đảm bảo sự tồn tại lâu dài trong các mạng bị xâm phạm đồng thời giảm thiểu dấu vết kỹ thuật số của mình.
StealerBot: Một công cụ gián điệp chết người
Vào tháng 10 năm 2024, các nhà nghiên cứu an ninh mạng đã tiến hành phân tích chuyên sâu về SideWinder, tiết lộ việc sử dụng StealerBot—một bộ công cụ khai thác sau mô-đun được thiết kế để trích xuất dữ liệu nhạy cảm từ các hệ thống bị xâm phạm. Sự quan tâm của SideWinder đối với ngành hàng hải đã được ghi nhận trước đó vào tháng 7 năm 2024, làm nổi bật cách tiếp cận bền bỉ và tập trung của công ty.
Phương pháp tấn công: Spear-phishing và Exploits
Các cuộc tấn công mới nhất tuân theo một mô hình quen thuộc. Email lừa đảo qua thư điện tử đóng vai trò là vectơ lây nhiễm ban đầu, mang theo các tài liệu không an toàn khai thác lỗ hổng Microsoft Office nổi tiếng (CVE-2017-11882). Khi mở ra, các tài liệu này kích hoạt một chuỗi nhiều giai đoạn, cuối cùng triển khai trình tải xuống .NET có tên ModuleInstaller, sau đó khởi chạy StealerBot.
Các nhà nghiên cứu đã xác nhận rằng nhiều tài liệu thu hút có liên quan đến các cơ quan năng lượng hạt nhân, nhà máy điện hạt nhân, cơ sở hạ tầng hàng hải và cơ quan cảng biển, cho thấy cách tiếp cận mang tính chiến lược cao nhằm vào các ngành công nghiệp quan trọng.
Thích ứng để đi trước các biện pháp an ninh
SideWinder chủ động giám sát các phát hiện bảo mật về phần mềm độc hại của mình. Khi các công cụ của mình được xác định, nhóm này nhanh chóng phát triển các phiên bản mới, được sửa đổi—đôi khi chỉ trong vài giờ. Nếu các giải pháp bảo mật đánh dấu hành vi của chúng, chúng sẽ phản hồi bằng cách thay đổi các kỹ thuật duy trì, thay đổi tên tệp và đường dẫn, và điều chỉnh cách các thành phần có hại được tải.
Bằng cách liên tục cải tiến các phương pháp tấn công và nhanh chóng thích ứng với các biện pháp đối phó, SideWinder vẫn là mối đe dọa mạng dai dẳng và không ngừng phát triển đối với các ngành công nghiệp quan trọng trên toàn thế giới.
