СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
19.09.2025
#ИБ#Инфра

APT-C-24 Sidewinder применяет фишинг-атаки с файлами LNK

APT-C-24 Sidewinder применяет фишинг-атаки с файлами LNK

Источник: mp.weixin.qq.com

В новом обзоре зафиксировано, что группа APT-C-24, более известная как Sidewinder, применяет целенаправленные phishing-кампании с использованием файлов LNK. Тактика основана на заманивании жертв к загрузке архивов с несколькими ярлыками (LNK), размещёнными на удалённом сервере, — после открытия одного из таких файлов система оказывается скомпрометирована.

Механизм атаки

Ключевые этапы типичной цепочки атаки выглядят следующим образом:

  • Инициирование через электронные письма или сообщения с элементами phishing, побуждающими жертву загрузить архив.
  • Архив содержит несколько файлов LNK, хранящихся на удалённом ресурсе и предлагаемых для открытия.
  • После выполнения загруженного файла LNK происходит исполнение вредоносных команд, что приводит к компрометации системы.
  • Дальнейшие последствия обычно включают установку malware или эксплуатацию уязвимостей ОС для расширения контроля над средой.

Почему опасны файлы LNK

Файлы LNK — это обычные ярлыки, но они могут служить средством для невидимого запуска команд и payload’ов. В руках злоумышленников такие «казалось бы безобидные» объекты становятся эффективным вектором первой стадии атаки, поскольку:

  • они легко распространяются в архивах и сообщениях;
  • могут ссылаться на удалённые ресурсы и запускать цепочки команд;
  • часто проходят мимо базовых фильтров, особенно при таргетированном phishing.

«Sidewinder использует казалось бы безобидные типы файлов для инициирования своих кибератак», — подчёркивает обзор.

Ограничения анализа

Отчёт подчёркивает саму методику применения LNK-файлов, однако не содержит детальных сведений о конкретных штаммах или расширенных возможностях используемого malware. Это затрудняет оценку полного технического профиля атак и их потенциального воздействия на крупные инфраструктуры.

Рекомендации по защите

Для снижения рисков, связанных с подобными кампаниями, организациям и частным пользователям рекомендуется:

  • повышать осведомлённость сотрудников о методах phishing и правилах работы с вложениями;
  • воздерживаться от открытия неизвестных архивов и LNK-файлов, особенно из внешних источников;
  • проверять вложения с помощью антивирусного ПО и EDR-решений перед запуском;
  • ограничивать возможность выполнения неподписанных скриптов и ярлыков на рабочих станциях;
  • обновлять системы и приложения, чтобы минимизировать риск эксплуатации уязвимостей;
  • внедрять сетевые политики и сегментацию, чтобы затруднить дальнейшее распространение при компрометации.

Вывод

APT-C-24 (Sidewinder) демонстрирует, что злоумышленники продолжают совершенствовать техники социальной инженерии, адаптируя простые форматы файлов под сложные целенаправленные атаки. Признание и понимание рисков, связанных с файлами LNK и аналогичными векторами, остаётся ключевым элементом защиты как для организаций, так и для частных пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: