Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новая кампания SideWinder APT: угроза для госструктур Южной Азии

3 мин
Подразделение Acronis по исследованию угроз (Threat Research Unit, TRU) выявило свежую кампанию кибершпионажа, инициированную известной группой SideWinder APT. Основные цели злоумышленников — правительственные учреждения высокого уровня в Шри-Ланке, Бангладеш и Пакистане. Особенностью кампании являются продвинутые методы фишинга с учётом геозоны, позволяющие жертвам получать вредоносные сообщения только в нужных странах. Начальный этап атаки реализуется через вредоносные документы в форматах Word и RTF, которые эксплуатируют известные уязвимости CVE-2017-0199 и CVE-2017-11882. Эти CVE обеспечивают возможность удалённого выполнения кода сразу после открытия заражённого файла, что значительно упрощает процесс компрометации: Так называемой «последней» полезной нагрузкой в цепочке является StealerBot — вредоносное ПО, предназначенное для похищения учётных данных, что обеспечивает злоумышленникам постоянный доступ к заражённым системам и возможность утечки конфиденциальной информации. Shell
Оглавление
Источник: www.acronis.com
Источник: www.acronis.com

Новая кампания кибершпионажа SideWinder APT нацелена на правительства Южной Азии

Подразделение Acronis по исследованию угроз (Threat Research Unit, TRU) выявило свежую кампанию кибершпионажа, инициированную известной группой SideWinder APT. Основные цели злоумышленников — правительственные учреждения высокого уровня в Шри-Ланке, Бангладеш и Пакистане. Особенностью кампании являются продвинутые методы фишинга с учётом геозоны, позволяющие жертвам получать вредоносные сообщения только в нужных странах.

Методы заражения и технические детали

Начальный этап атаки реализуется через вредоносные документы в форматах Word и RTF, которые эксплуатируют известные уязвимости CVE-2017-0199 и CVE-2017-11882. Эти CVE обеспечивают возможность удалённого выполнения кода сразу после открытия заражённого файла, что значительно упрощает процесс компрометации:

  • Использование многоступенчатых загрузчиков;
  • Доставка полезной нагрузки на основе шеллкода;
  • Полиморфизм на стороне сервера, затрудняющий обнаружение вредоносных компонентов.

Так называемой «последней» полезной нагрузкой в цепочке является StealerBot — вредоносное ПО, предназначенное для похищения учётных данных, что обеспечивает злоумышленникам постоянный доступ к заражённым системам и возможность утечки конфиденциальной информации.

Техническая изощрённость и тактики обхода защиты

Shellcode, использующий уязвимость CVE-2017-11882, содержит динамическое разрешение функций API, что позволяет обходить средства статического анализа и песочницы. Такая тактика демонстрирует высокий уровень технической подготовленности SideWinder:

  • Отказ от классических эксплойтов в пользу более современных загрузчиков шеллкода;
  • Периодическое обновление инфраструктуры управления и контроля (C2-серверов);
  • Регистрация большого числа новых доменов, особенно в начале 2025 года, для поддержания устойчивой связи с заражёнными машинами.

Анализ целей и социально-психологический аспект атаки

SideWinder сохраняет традицию нацеливания на стратегически важные учреждения, в частности:

  • Центральный банк Шри-Ланки;
  • Элитная 55-я дивизия армии Шри-Ланки;
  • Другие министерства, упомянутые в кампании, скорее всего, используются для усиления психологического давления посредством создания правдоподобных фишинговых приманок.

В качестве приманки злоумышленники применяют официальный на вид документ — «Руководство по национальным таможенным тарифам Шри-Ланки на импорт до 2025 года». Это повышает достоверность сообщения и увеличивает шансы на открытие файла потенциальной жертвой.

Контекст и значимость расследования

Текущая кампания SideWinder соответствует ранее известной тактике группы, в том числе их интересу к целям в сферах ядерных исследований и морской безопасности. Особое внимание уделяется использованию устаревших уязвимостей, что свидетельствует о сохранении в некоторых государственных учреждениях уязвимой IT-инфраструктуры с устаревшим программным обеспечением.

Как отмечают эксперты Acronis TRU, _«SideWinder демонстрирует выдающуюся оперативную зрелость, сочетая традиционные методы эксплуатации уязвимостей с высокотехнологичными механизмами уклонения от детекции»_. Это делает группу одной из наиболее опасных и изощрённых в регионе.

Выводы

  • SideWinder продолжает активное использование известных уязвимостей для компрометации систем;
  • Злоумышленники применяют сложные многоступенчатые схемы доставки вредоносного кода;
  • Целенаправленно атакуются важнейшие государственные и военные учреждения в Южной Азии;
  • Использование геозонального фишинга и документов «официального» вида увеличивает эффективность атак.

Комплексный анализ Acronis TRU подчеркивает важность своевременного обновления систем безопасности в государственных учреждениях и повышенного внимания к многоэтапным фишинговым кампаниям.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новая кампания SideWinder APT: угроза для госструктур Южной Азии".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.