Морские пираты XXI века: как они захватывают грузовые порты

Исследовательская группа BlackBerry обнаружила новую кампанию известной хакерской группы SideWinder, которая теперь использует обновлённую инфраструктуру и методы для компрометации жертв. В результате анализа данных стало ясно, что новая вредоносная операция нацелена на порты и морские объекты в Индийском океане и Средиземном море.

Хакеры используют фишинговые письма с логотипами и темами, специфичными для портов в Пакистане, Египте и Шри-Ланке, а также поддомены, указывающие на дополнительные цели в Бангладеш, Мьянме, Непале и на Мальдивах. Целью этих атак является шпионаж и сбор разведданных.

Группа SideWinder, известная также как Razor Tiger, Rattlesnake и T-APT-04, ведёт свою деятельность с 2012 года и, как полагают исследователи, имеет прямое отношение к Индии. Группа ранее атаковала военные, правительственные и бизнес-структуры, сосредоточившись на Пакистане, Афганистане, Китае и Непале.

Для своих атак SideWinder использует методы целевого фишинга, эксплуатацию офисных документов и DLL Sideloading. В ходе кампании выяснилось, что начинается всё, как правило, с того, что жертва скачивает и открывает заражённый документ, имеющий низкий уровень обнаружения на VirusTotal, что запускает следующую фазу атаки.

Документы-фальшивки, используемые в этих атаках, выглядят как легитимные документы от официальных организаций. В одной из атак использовались документы, имитирующие документы портовой инфраструктуры, включая Порт Александрии в Средиземном море и Портовое управление Красного моря.

Цель этих документов — вызвать у жертвы сильные эмоции, такие как страх или тревогу, чтобы побудить её немедленно открыть файл. Например, фальшивые письма содержали такие фразы, как «увольнение сотрудников» и «снижение зарплаты», что отвлекало жертву от любых подозрений.

Технический анализ показал, что SideWinder использует уязвимость CVE-2017-0199 в Microsoft Office для начальной компрометации системы. Вредоносные документы содержат URL-адреса, ведущие на сайты, контролируемые хакерами, где и загружаются дополнительные вредоносные файлы.

Следующим этапом атаки является загрузка RTF-файла, который эксплуатирует уязвимость CVE-2017-11882, включая шелл-код для проверки системы жертвы. Если система подходит, программа расшифровывает и запускает JavaScript-код, загружая следующую стадию атаки с удалённого сервера.

В сети SideWinder были выявлены домены и IP-адреса, используемые для командно-контрольной инфраструктуры, включая старый узел Tor для маскировки анализа трафика.

Исследователи продолжают отслеживать деятельность группы и публиковать индикаторы компрометации (IoC) для защиты организаций от атак SideWinder. Для предотвращения подобных атак рекомендуется своевременно обновлять системы безопасности, проводить обучение сотрудников по выявлению фишинговых атак и внедрять передовые решения для фильтрации электронной почты и обнаружения угроз.