Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

SideWinder: фишинговая кампания против индийских налогоплательщиков

4 мин
Недавно исследователи зафиксировали, что APT‑группировка SideWinder (известная также как Rattlesnake или T-APT-04) развернула многоэтапную скрытую атаку, ориентированную на индийских налогоплательщиков. Кампания продолжает характерную для группы нацеленность на высокозначимые объекты в государствах Южной Азии и затрагивает разные отрасли: государственные органы, военную сферу, розничную торговлю, телекоммуникации и здравоохранение. Злоумышленники использовали фишинговые электронные письма, маскируемые под официальные сообщения о «проверке, возврате налога», чтобы заманить жертв и инициировать загрузку вредоносного ПО. В письмах были ссылки и перенаправления на мошеннические веб‑порталы, специально имитировавшие страницы Департамента подоходного налога Индии. «проверка, возврат налога» Анализ показал использование сложного многоэтапного подхода, позволившего злоумышленникам обходить средства защиты конечной точки и оставаться малозаметными: В расследовании выявлены домены, URL‑адреса и
Оглавление

Недавно исследователи зафиксировали, что APT‑группировка SideWinder (известная также как Rattlesnake или T-APT-04) развернула многоэтапную скрытую атаку, ориентированную на индийских налогоплательщиков. Кампания продолжает характерную для группы нацеленность на высокозначимые объекты в государствах Южной Азии и затрагивает разные отрасли: государственные органы, военную сферу, розничную торговлю, телекоммуникации и здравоохранение.

Суть атаки

Злоумышленники использовали фишинговые электронные письма, маскируемые под официальные сообщения о «проверке, возврате налога», чтобы заманить жертв и инициировать загрузку вредоносного ПО. В письмах были ссылки и перенаправления на мошеннические веб‑порталы, специально имитировавшие страницы Департамента подоходного налога Индии.

«проверка, возврат налога»

Технические приемы и тактики

Анализ показал использование сложного многоэтапного подхода, позволившего злоумышленникам обходить средства защиты конечной точки и оставаться малозаметными:

  • Применение DLL side‑loading с использованием легитимных двоичных файлов Microsoft Defender для обхода EDR‑механизмов.
  • Использование тактик «спящего режима» и гео‑ограждения (geo‑fencing) для активации вредоносной активности только в нужных условиях и регионах.
  • Уклонение от обнаружения на основе репутации через направление трафика и хостинга через публичные облачные сервисы хранения данных и платформы URL‑shortening.
  • Фишинг с вредоносными ссылками (MITRE ATT&CK ID: T1566.002) и рассылка вредоносных файлов (MITRE ATT&CK ID: T1204.001).

Инфраструктура и индикаторы компрометации (IOCs)

В расследовании выявлены домены, URL‑адреса и файловые артефакты, связанные с кампанией. Среди ключевых IOC отмечены:

  • Мошеннический домен, использовавшийся как портал по налогу на прибыль: gfmqvip.vip.
  • Другие вредоносные домены: ksdfuefagfrukayhfka.eu.cc, zibenbang.vip, несколько экземпляров googlevip.icu и прочие нестандартные TLD.
  • Ссылки‑коротыши, использовавшиеся в фишинговых рассылках: surl.li/wijrvg и surl.li/oskzir.
  • Загрузочный архив, применявшийся для первоначального доступа: Inspection.zip, содержащий критические полезные файлы, захваченные библиотеки DLL и загрузчик шелл‑кода.
  • Инфраструктура C2 опиралась на IP‑адреса, привязанные к AliCloud, с разделением на промежуточные и конечные серверы C2.
  • В ходе анализа также были получены хэши загруженных файлов и полезной нагрузки, которые служат «отпечатками» для детекции и блокировки — конкретные хэши указаны в техническом отчете.

Почему это важно

Кампания SideWinder демонстрирует, как целенаправленные операции используют сочетание социальных манипуляций и продвинутых технических приемов для обхода современных средств защиты. Использование легитимных инструментов системы (например, бинарников Microsoft Defender) и распространение через общеизвестные облачные сервисы затрудняет автоматическую фильтрацию и приводит к высокой эффективности атак против отдельных пользователей и организаций.

Рекомендации по защите

Для снижения рисков эксперты рекомендуют:

  • Не переходить по подозрительным ссылкам и не открывать вложения из неожиданных писем, даже если они имитируют официальные уведомления.
  • Проверять адрес отправителя и домен целевых сайтов — официальные порталы налоговой службы должны быть доступны по проверенным доменам.
  • Усилить мониторинг признаков DLL side‑loading и аномалий в поведении легитимных антивирусных/системных бинарников.
  • Блокировать известные вредоносные домены и URL на уровне прокси/файрвола и настроить детекцию по обнаруженным хэшам (IOCs) из отчета.
  • Ограничить возможность загрузки и выполнения исполняемых файлов пользователями; применять политики Application Control и WHitelisting.
  • Проводить регулярное обучение сотрудников по фишингу и имитационные тесты, ориентированные на актуальные сценарии атак.
  • Следить за сетевыми соединениями к облачным хостам и IP‑адресам, связанным с AliCloud, если их использование не оправдано бизнес‑процессами.
  • Интегрировать индикаторы из технического отчета в SIEM/EDR для быстрого обнаружения и реагирования.

Вывод

Атака SideWinder — наглядный пример того, как современные APT‑группы сочетают социальную инженерию с технически сложными приемами для достижения целей и обхода систем защиты. Организациям и частным лицам, особенно в целевых регионах, важно учитывать актуальные IOCs и внедрять меры по защите на уровне пользователей, конечных точек и сети.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "SideWinder: фишинговая кампания против индийских налогоплательщиков".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются