СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
14.09.2025
#Dev#ИБ

Sidewinder (APT‑C‑24): LNK‑атаки через MSHTA на Южную Азию

Sidewinder (APTC24): LNKатаки через MSHTA на Южную Азию

APT-C-24, также известная как Sidewinder, — организация, занимающаяся сложными целенаправленными атаками, действующая в основном в Южной Азии с историей операций, начинающейся с 2012 года. Группа нацелена на ряд стран и секторов, стремясь извлечь конфиденциальную информацию и установить удалённый контроль над компрометированными хостами.

География и цели атак

Sidewinder преимущественно нацеливается на следующие регионы и отрасли:

  • Страны: Пакистан, Афганистан, Непал, Бутан и Мьянма;
  • Секторы: государственное управление, энергетика, военное дело и горнодобывающая промышленность.

Методика и тактика

Институт перспективных исследований угроз 360 выявил, что в недавних кампаниях группа использует фишинг с применением файлов LNK (Windows shortcut). Новая методология включает следующие характеристики:

  • Распространение вредоносных LNK-файлов, помещённых в сжатые пакеты;
  • Каждый пакет обычно содержит три таких файла, выполняемые через MSHTA (Microsoft HTML Application Host);
  • LNK-файлы запрограммированы на извлечение и выполнение вредоносных скриптов с определённых удалённых URL-адресов;
  • URL-адреса часто содержат параметры, такие как «yui=0/1/2», что указывает на потенциальный способ запутать назначение или фактического адресата запросов;
  • Скрипты сильно запутаны (обфусцированы), что затрудняет их анализ и препятствует обнаружению;
  • Конечная цель — загрузка и выполнение вредоносных компонентов непосредственно в память системы жертвы, что позволяет установить удалённый контроль над хостом.

Эта эволюционирующая тактика подчеркивает неизменную адаптивность группы в использовании распространённых типов файлов для проникновения, в то же время применяя сложные методы запутывания для обхода мер безопасности.

Особенности угрозы

Использование LNK и утилиты MSHTA демонстрирует целенаправленный подход Sidewinder, направленный на эксплуатацию часто используемых функциональных возможностей Windows. Обфускация скриптов и применение параметризованных URL-адресов делают кампанию особенно устойчивой к стандартным средствам защиты и усложняют реагирование со стороны команд по информационной безопасности.

Последствия для организаций

Последствия атак могут быть существенными, особенно для организаций в чувствительных секторах, которые хранят ценные данные. Успешное внедрение вредоносных компонентов в память и установление удалённого контроля над системами ставит под угрозу конфиденциальность, целостность и доступность информации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: