SideWinder 高级攻击组织

南亚、东南亚、非洲和中东的海运和物流公司已成为高级持续性威胁 (APT) 组织 SideWinder 的主要目标。2024 年观察到的近期网络攻击影响了孟加拉国、柬埔寨、吉布提、埃及、阿拉伯联合酋长国和越南的组织。

除了海事领域，SideWinder 还将目光瞄准了南亚和非洲的核电站和核能基础设施。其他受影响的行业包括电信、咨询、IT 服务、房地产中介，甚至酒店等服务业。

外交目标和印度关系

SideWinder 的攻击范围显著扩大，它还针对阿富汗、阿尔及利亚、保加利亚、中国、印度、马尔代夫、卢旺达、沙特阿拉伯、土耳其和乌干达的外交机构发起了网络攻击。鉴于此前有猜测称威胁行为者可能来自印度，该组织专门针对印度具有重要意义。

不断进化且难以捉摸的对手

SideWinder 以其持续进化而闻名，专家将其描述为“高度先进和危险的对手”。该组织不断增强其工具集，逃避安全软件检测，并确保在受感染网络中长期存在，同时最大限度地减少其数字足迹。

StealerBot：致命的间谍工具

2024 年 10 月，网络安全研究人员对 SideWinder 进行了深入分析，发现其使用了 StealerBot，这是一种模块化后利用工具包，旨在从受感染的系统中提取敏感数据。SideWinder 对航运业的兴趣早在 2024 年 7 月就已记录在案，凸显了其坚持不懈、专注的态度。

攻击方法：鱼叉式网络钓鱼和漏洞利用

最新的攻击遵循了熟悉的模式。鱼叉式网络钓鱼电子邮件是初始感染媒介，其中携带利用众所周知的 Microsoft Office 漏洞 (CVE-2017-11882) 的不安全文档。一旦打开，这些文档就会触发多阶段序列，最终部署名为 ModuleInstaller 的 .NET 下载程序，进而启动 StealerBot。

研究人员已证实，许多诱饵文件提到了核能机构、核电站、海上基础设施和港口当局，这表明该机构针对关键行业采取了高度战略性的方法。

适应并保持领先安全措施

SideWinder 积极监控其恶意软件的安全检测。一旦其工具被识别，该组织就会迅速开发新的修改版本——有时只需几个小时。如果安全解决方案标记出其行为，它们就会通过改变持久性技术、更改文件名和路径以及调整有害组件的加载方式来做出响应。

通过不断改进攻击方法和快速适应对策，SideWinder 仍然对全球关键行业构成持续且不断演变的网络威胁。