SideWinder: Эволюция APT-угроз к критической инфраструктуре
Источник: securelist.com
SideWinder — это Advanced Persistent Threat (APT), нацеленная на военные и правительственные структуры в различных регионах, включая Южную Азию, Ближний Восток и Африку. В 2024 году группа значительно расширила свои операции, охватив морскую инфраструктуру и логистические компании, с особым интересом к атомным электростанциям в Южной Азии.
Расширение операций и новые цели
В последние месяцы SideWinder сместила свои атаки с первоначальных целей в Джибути на более широкие горизонты: Азию и увеличившийся интерес к Египту. Это говорит о стремлении группы адаптироваться к меняющимся геополитическим условиям.
Методы атак
Группа активно использует фишинговые электронные письма, содержащие вредоносные файлы DOCX, в качестве основного метода заражения. Они применяют уязвимость CVE-2017-11882, которая позволяет им выполнять вредоносный шелл-код и инициировать многоэтапный процесс заражения. Этот процесс приводит к установке их «загрузчика с черного хода», который запускает StealerBot — сложный инструментарий для кибершпионажа.
Современные изменения в методах
Недавние изменения в методах использования группы включают:
- Использование удаленных внедрений шаблонов в файлы DOCX;
- Выполнение JavaScript с помощью утилиты Windows mshta.exe для дальнейшей загрузки вредоносного ПО;
- Внедрение сильно запутанного JavaScript в вредоносный HTA-файл.
Технические возможности
Последние версии вредоносного ПО SideWinder включают «загрузчик с черного хода» на языке C++, сохраняя функциональность предыдущих версий, но без определенных средств защиты от анализа. Это свидетельствует о высокой технической компетентности и способности группы быстро адаптироваться к новым вызовам.
В ходе различных кампаний SideWinder нацеливалась на широкий спектр секторов, таких как:
- Телекоммуникации;
- Консалтинг;
- Поставщики ИТ-услуг;
- Недвижимость;
- Гостиничный бизнес.
Угроза для критической инфраструктуры
Способность группы быстро предоставлять обновленные варианты вредоносных программ, часто в течение нескольких часов после их обнаружения, подчеркивает их уровень мастерства в разработке программного обеспечения. Учитывая высокую скорость адаптации и техническую сложность SideWinder, она представляет серьезную угрозу для критически важной инфраструктуры и крупных организаций.
Для снижения рисков, создаваемых этой продвинутой угрозой, необходимо:
- Непрерывное исправление уязвимостей, особенно для известных уязвимостей, таких как CVE-2017-11882;
- Внедрение комплексных решений в области безопасности, включая возможности обнаружения и реагирования на инциденты;
- Мониторинг и корректировка правил обнаружения угроз.
В условиях постоянного эволюционирования методов SideWinder, новые подходы к кибербезопасности становятся не просто важными, а жизненно необходимыми.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
