SideWinder: фишинговая кампания против индийских налогоплательщиков
Недавно исследователи зафиксировали, что APT‑группировка SideWinder (известная также как Rattlesnake или T-APT-04) развернула многоэтапную скрытую атаку, ориентированную на индийских налогоплательщиков. Кампания продолжает характерную для группы нацеленность на высокозначимые объекты в государствах Южной Азии и затрагивает разные отрасли: государственные органы, военную сферу, розничную торговлю, телекоммуникации и здравоохранение.
Суть атаки
Злоумышленники использовали фишинговые электронные письма, маскируемые под официальные сообщения о «проверке, возврате налога», чтобы заманить жертв и инициировать загрузку вредоносного ПО. В письмах были ссылки и перенаправления на мошеннические веб‑порталы, специально имитировавшие страницы Департамента подоходного налога Индии.
«проверка, возврат налога»
Технические приемы и тактики
Анализ показал использование сложного многоэтапного подхода, позволившего злоумышленникам обходить средства защиты конечной точки и оставаться малозаметными:
- Применение DLL side‑loading с использованием легитимных двоичных файлов Microsoft Defender для обхода EDR‑механизмов.
- Использование тактик «спящего режима» и гео‑ограждения (geo‑fencing) для активации вредоносной активности только в нужных условиях и регионах.
- Уклонение от обнаружения на основе репутации через направление трафика и хостинга через публичные облачные сервисы хранения данных и платформы URL‑shortening.
- Фишинг с вредоносными ссылками (MITRE ATT&CK ID: T1566.002) и рассылка вредоносных файлов (MITRE ATT&CK ID: T1204.001).
Инфраструктура и индикаторы компрометации (IOCs)
В расследовании выявлены домены, URL‑адреса и файловые артефакты, связанные с кампанией. Среди ключевых IOC отмечены:
- Мошеннический домен, использовавшийся как портал по налогу на прибыль: gfmqvip.vip.
- Другие вредоносные домены: ksdfuefagfrukayhfka.eu.cc, zibenbang.vip, несколько экземпляров googlevip.icu и прочие нестандартные TLD.
- Ссылки‑коротыши, использовавшиеся в фишинговых рассылках: surl.li/wijrvg и surl.li/oskzir.
- Загрузочный архив, применявшийся для первоначального доступа: Inspection.zip, содержащий критические полезные файлы, захваченные библиотеки DLL и загрузчик шелл‑кода.
- Инфраструктура C2 опиралась на IP‑адреса, привязанные к AliCloud, с разделением на промежуточные и конечные серверы C2.
- В ходе анализа также были получены хэши загруженных файлов и полезной нагрузки, которые служат «отпечатками» для детекции и блокировки — конкретные хэши указаны в техническом отчете.
Почему это важно
Кампания SideWinder демонстрирует, как целенаправленные операции используют сочетание социальных манипуляций и продвинутых технических приемов для обхода современных средств защиты. Использование легитимных инструментов системы (например, бинарников Microsoft Defender) и распространение через общеизвестные облачные сервисы затрудняет автоматическую фильтрацию и приводит к высокой эффективности атак против отдельных пользователей и организаций.
Рекомендации по защите
Для снижения рисков эксперты рекомендуют:
- Не переходить по подозрительным ссылкам и не открывать вложения из неожиданных писем, даже если они имитируют официальные уведомления.
- Проверять адрес отправителя и домен целевых сайтов — официальные порталы налоговой службы должны быть доступны по проверенным доменам.
- Усилить мониторинг признаков DLL side‑loading и аномалий в поведении легитимных антивирусных/системных бинарников.
- Блокировать известные вредоносные домены и URL на уровне прокси/файрвола и настроить детекцию по обнаруженным хэшам (IOCs) из отчета.
- Ограничить возможность загрузки и выполнения исполняемых файлов пользователями; применять политики Application Control и WHitelisting.
- Проводить регулярное обучение сотрудников по фишингу и имитационные тесты, ориентированные на актуальные сценарии атак.
- Следить за сетевыми соединениями к облачным хостам и IP‑адресам, связанным с AliCloud, если их использование не оправдано бизнес‑процессами.
- Интегрировать индикаторы из технического отчета в SIEM/EDR для быстрого обнаружения и реагирования.
Вывод
Атака SideWinder — наглядный пример того, как современные APT‑группы сочетают социальную инженерию с технически сложными приемами для достижения целей и обхода систем защиты. Организациям и частным лицам, особенно в целевых регионах, важно учитывать актуальные IOCs и внедрять меры по защите на уровне пользователей, конечных точек и сети.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



