Operation SouthNet: фишинг SideWinder в Южной Азии

Operation SouthNet, приписываемая угрозе SideWinder, в последние месяцы продемонстрировала значительную эскалацию фишинга и распространения вредоносного ПО по всему региону Южной Азии. Аналитики зафиксировали более 50 вредоносных доменов, используемых для маскировки под порталы Outlook и Zimbra с целью сбора учетных данных, а также широкую диверсификацию по странам и секторам.
Ключевые факты
- Обнаружено более 50 вредоносных доменов, примерно 40% из которых приходится на Пакистан.
- Кампания стартовала в августе 2025 года и целенаправленно атаковала правительственные и оборонные структуры в Непале, Бангладеш и Турции.
- Атаки охватывают и другие страны региона, включая Мьянму и Пакистан.
- Злоумышленники использовали бесплатные хостинговые платформы, такие как Netlify и pages.dev, для развертывания фишинговой инфраструктуры.
- Инфраструктура кампании имеет общие связи с историческими активами SideWinder — в том числе с известными command and control (C2), что указывает на утилизацию прошлых ресурсов.
Что атаковали и как
Атаки были нацелены на ценные государственные и отраслевые объекты, при этом злоумышленники применяли тщательно продуманные приманки и технические приемы для минимизации обнаружения.
- В Бангладеш: схемы impersonation нацелены на Министерство обороны.
- В Непале: атаки на Министерство финансов с использованием поддельных порталов Outlook.
- В Мьянме: компрометация пользователей Центрального банка через мошеннические страницы входа в Zimbra.
- В Пакистане: угроза затронула аэрокосмический и телекоммуникационный сектора, в том числе учреждения вроде SUPARCO (Space and Upper Atmosphere Commission).
Технически фишинговые страницы были реализованы так, чтобы сократить следы: формы отправляли данные напрямую через POST-запросы без промежуточных перенаправлений, что усложняет обнаружение и блокирование со стороны традиционных систем фильтрации.
Социальная инженерия и приманки
Для повышения успешности атак злоумышленники распространяли weaponized документы, маскируемые под материалы, связанные с государственными делами. Использовались тематические письма и документы, релевантные по содержанию целевым организациям, что повышало вероятность того, что жертва откроет файл или перейдет по ссылке.
Инфраструктура и связи с историческими операциями
Анализ показал, что SideWinder применял модель многократного использования инфраструктуры: новые фишинговые домены и хосты имели связь с ранее зарегистрированными C2-активами. При этом злоумышленники активно эксплуатировали преимущества бесплатных хостингов — быстрая регистрация и развертывание страниц на Netlify и pages.dev облегчали частую смену доменов и обход блокировок.
Рекомендации по снижению риска
Для уменьшения подверженности подобных кампаний экспертами предлагаются следующие меры:
- Мониторинг бесплатных хостингов: регулярный мониторинг Netlify, pages.dev и аналогичных платформ на предмет появления фишинговых страниц, особенно имитирующих правительственные сервисы.
- Корреляция показателей компрометации (IOCs): оперативная интеграция и корреляция IoC с SIEM/EDR для своевременного обнаружения повторно используемой инфраструктуры.
- Обучение персонала: тренинги для сотрудников по распознаванию целевых приманок, подозрительных вложений и фишинговых ссылок.
- Трансграничное сотрудничество: обмен информацией между национальными CERT и профильными подразделениями по кибербезопасности в странах Южной Азии, учитывая трансграничный характер атак.
- Политика управления доменами: применение белых списков доменов, блокировка подозрительных доменов и усиление фильтрации входящей почты для критичных подразделений.
Выводы
Операция SouthNet является наглядным примером того, как акторы APT (в данном случае SideWinder) используют быстрый отток доменов, стратегически подобранные приманки и кроссплатформенные приемы для поддержки долгосрочных кампаний шпионажа. «Операция демонстрирует стойкость и адаптивность угрозы: агрессоры быстро меняют инфраструктуру и применяют релевантные тематические приманки, чтобы оставаться незаметными и успешными», — отмечают аналитики.
Организациям, особенно в государственном секторе и критичной инфраструктуре, следует рассматривать эту кампанию как сигнал усилить мониторинг внешней поверхности атаки, повысить готовность персонала и активизировать международное взаимодействие для быстрого реагирования на подобные угрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



