Sidewinder: фишинговая кампания credential harvesting против правительств и военных
Источник: hunt.io
Исследователи безопасности фиксируют целенаправленную кампанию credential harvesting, которую приписывают группе Sidewinder. Первоначальный эпизод фишинга был направлен против Министерства обороны Непала, а дальнейшее расследование указывает на расширение активности в соседние страны Южной Азии и на объекты в Турции.
Кто и откуда: атрибуция и источники
«Атрибуция взята из заявления исследователя “Demon” в Twitter, который связывает активность с группой Sidewinder и называет операцию credential harvesting, проводимой с помощью целенаправленного фишинга.»
По данным анализа инфраструктуры, атака использовала выделенные хостинг-ресурсы и VPS для размещения фишинговых страниц и порталов сбора учетных данных. Это типичный подход для повышения устойчивости кампании и усложнения оперативных мер по ликвидации инфраструктуры.
Техническая инфраструктура и индикаторы
- Наблюдаемый IP-адрес: 146.70.118.226, размещён компанией M247 Europe SRL во Франкфурте (AS9009).
- Обратный DNS этого адреса разрешается как monovm.host — VPS-провайдер, часто используемый для хостинга с повышенной анонимностью или слабо контролируемых сред.
- DNS-переадресация для того же адреса указывает на домен webdisk.ichigotour.com, который на первый взгляд выглядит безобидно, но, по оценке аналитиков, мог использоваться для размещения фишинговых страниц и порталов сбора учетных данных.
Такое сочетание — публично доступные VPS/общий хостинг + «невинно выглядящие» домены — обеспечивает злоумышленникам гибкость при смене инфраструктуры и затрудняет простые действия по удалению ресурсов.
Вектор атаки и география кампании
Основной метод — credential harvesting посредством целенаправленного фишинга. Акторы, по всей видимости, используют поддельный правительственный или военный брендинг для повышения доверия жертв и побуждения к передаче учетных данных.
Первичной целью был Министерство обороны Непала; последующее сопоставление доменных и инфраструктурных сигналов показало, что масштаб кампании расширился и включил объекты в:
- Бангладеш
- Турция
Аналитики характеризуют это как скоординированные усилия, направленные на правительства и военные структуры региона.
Последствия и рекомендации
Кампания демонстрирует типичные приёмы современных целевых атак: использование общих хостингов и VPS для повышения живучести инфраструктуры, маскировку доменов под безобидные сервисы и фокус на сборе учетных данных у организаций с высоким уровнем риска.
Экспертные рекомендации для организаций в зоне риска:
- Активировать многофакторную аутентификацию (MFA) для всех критичных сервисов.
- Проводить регулярное обучение сотрудников по распознаванию целевого фишинга и социальных инжиниринговых приёмов.
- Мониторить и блокировать подозрительные домены и IP-адреса в корпоративных сетях и почтовых шлюзах.
- Обмениваться индикаторами компрометации (IOCs) с национальными CERT и профильными ведомствами для оперативной реакции и takedown-координации.
- Внедрять механизмы анализа исходящих коммуникаций и аномалий в поведении учетных записей.
Вывод
Фиксируемая кампания, связанная с Sidewinder, подтверждает тенденцию роста целевых операций по краже учетных данных, направленных на государственные и военные структуры. Использование VPS и «нейтрально выглядящих» доменов затрудняет обнаружение и оперативное устранение злоумышленной инфраструктуры. Организациям, находящимся в зоне риска, следует повысить уровень цифровой гигиены, усилить защитные меры и усиливать взаимодействие с профильными органами по обмену информацией об угрозах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
