APT-C-24, также известная как Sidewinder, — организация, занимающаяся сложными целенаправленными атаками, действующая в основном в Южной Азии с историей операций, начинающейся с 2012 года. Группа нацелена на ряд стран и секторов, стремясь извлечь конфиденциальную информацию и установить удалённый контроль над компрометированными хостами.
География и цели атак
Sidewinder преимущественно нацеливается на следующие регионы и отрасли:
- Страны: Пакистан, Афганистан, Непал, Бутан и Мьянма;
- Секторы: государственное управление, энергетика, военное дело и горнодобывающая промышленность.
Методика и тактика
Институт перспективных исследований угроз 360 выявил, что в недавних кампаниях группа использует фишинг с применением файлов LNK (Windows shortcut). Новая методология включает следующие характеристики:
- Распространение вредоносных LNK-файлов, помещённых в сжатые пакеты;
- Каждый пакет обычно содержит три таких файла, выполняемые через MSHTA (Microsoft HTML Application Host);
- LNK-файлы запрограммированы на извлечение и выполнение вредоносных скриптов с определённых удалённых URL-адресов;
- URL-адреса часто содержат параметры, такие как «yui=0/1/2», что указывает на потенциальный способ запутать назначение или фактического адресата запросов;
- Скрипты сильно запутаны (обфусцированы), что затрудняет их анализ и препятствует обнаружению;
- Конечная цель — загрузка и выполнение вредоносных компонентов непосредственно в память системы жертвы, что позволяет установить удалённый контроль над хостом.
Эта эволюционирующая тактика подчеркивает неизменную адаптивность группы в использовании распространённых типов файлов для проникновения, в то же время применяя сложные методы запутывания для обхода мер безопасности.
Особенности угрозы
Использование LNK и утилиты MSHTA демонстрирует целенаправленный подход Sidewinder, направленный на эксплуатацию часто используемых функциональных возможностей Windows. Обфускация скриптов и применение параметризованных URL-адресов делают кампанию особенно устойчивой к стандартным средствам защиты и усложняют реагирование со стороны команд по информационной безопасности.
Последствия для организаций
Последствия атак могут быть существенными, особенно для организаций в чувствительных секторах, которые хранят ценные данные. Успешное внедрение вредоносных компонентов в память и установление удалённого контроля над системами ставит под угрозу конфиденциальность, целостность и доступность информации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Sidewinder (APT‑C‑24): LNK‑атаки через MSHTA на Южную Азию".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.