Изображение: recraft
Эксперты «Лаборатории Касперского» ранее публиковали исследование, посвящённое деятельности APT-группы SideWinder. В нём рассматривалась активность хакеров в первой половине года, когда основными объектами их атак были военные и государственные структуры в Пакистане, Шри-Ланке, Китае и Непале. Теперь представлен новый отчет о деятельности этой группировки.
Специалисты «Лаборатории Касперского» отметили, что группа начала существенно расширять круг своих целей, нанося удары по государственным учреждениям, логистическим компаниям и объектам морской инфраструктуры в регионах Южной и Юго-Восточной Азии, на Ближнем Востоке и в Африке. Эксперты также описали действия хакеров после успешного проникновения в системы и представили новый сложный имплант, предназначенный для проведения шпионских операций.
Во второй половине года специалисты продолжили отслеживать деятельность SideWinder и зафиксировали рост её активности. Группа не только обновила свой инструментарий, но и развернула масштабную инфраструктуру для распространения вредоносного ПО и управления заражёнными системами. Основные отрасли, на которые были направлены атаки, оставались прежними, но эксперты зафиксировали значительный рост числа инцидентов, связанных с объектами морской инфраструктуры и логистическими компаниями.
Впервые зафиксированы многочисленные атаки в Джибути. Позже группа сосредоточила внимание на других организациях в Азии, а также проявила особый интерес к целям в Египте.
Кроме того, в отчёте указано, что хакеры уделяют всё больше внимания ядерной энергетике в Южной Азии. Они продолжают расширять географию атак, всё чаще проникая в инфраструктурные объекты на территории африканских государств.
SideWinder регулярно модернизирует свои инструменты, чтобы обходить системы защиты, глубже проникать в скомпрометированные сети и скрывать своё присутствие в инфицированных системах. Анализируя тактику группы, эксперты пришли к выводу, что она постоянно отслеживает, какие из её инструментов обнаруживаются средствами кибербезопасности. При выявлении вредоносного ПО хакеры оперативно создают его новые версии — иногда в течение нескольких часов. Если обнаружение происходит на основе поведенческого анализа, то меняются методы закрепления в системе и загрузки вредоносных компонентов, а также переименовываются файлы и изменяются пути к ним.
По словам специалистов, отслеживание активности SideWinder напоминает игру в пинг-понг: защита и атака постоянно сменяют друг друга, а хакеры адаптируются к новым угрозам, стараясь оставаться незамеченными.
Полный отчёт доступен по ссылке.
Оригинал публикации на сайте CISOCLUB: "Группа SideWinder модернизировала инструменты и активизировала атаки на морскую и ядерную отрасли".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.