Морские перевозки и ядерные объекты: SideWinder меняет правила кибершпионажа

SideWinder, базирующаяся в Индии кибершпионская группировка, деятельность которой прослеживается с 2012 года, значительно расширила зону атак, нацелившись на организации в сфере морских перевозок и логистики в Африке и Азии. По данным исследователей «Лаборатории Касперского», атаки участились в 2024 году и включают использование проверенных методов социальной инженерии, а также устаревших, но всё ещё эффективных уязвимостей.

Одним из ключевых инструментов группировки остаётся фишинговая рассылка с вредоносными документами, содержащими эксплойт к CVE-2017-11882 — уязвимости в Microsoft Office, вызывающей повреждение памяти.

Атаки начинаются с фишинговых писем, содержащих DOCX-файл, замаскированный под официальные документы, связанные с политическими решениями или дипломатическими вопросами. Некоторые из них касаются ядерной энергетики, а другие используют случайные темы — от аренды автомобилей в Болгарии до вакансий разработчиков видеоигр.

При открытии такого документа происходит загрузка RTF-файла с сервера злоумышленников, после чего эксплойт CVE-2017-11882 активирует выполнение вредоносного кода. Это запускает цепочку заражения, которая заканчивается установкой Backdoor Loader, загружающего StealerBot в память системы. Последний выполняет широкий спектр вредоносных действий: устанавливает дополнительное ПО, делает скриншоты, фиксирует нажатия клавиш, похищает пароли, удалённые сеансы и файлы, а также может повышать привилегии в системе.

SideWinder атакует компании, связанные с морскими перевозками и логистикой, в Египте, Джибути, ОАЭ, Бангладеше, Камбодже и Вьетнаме. Кроме того, зафиксированы атаки на объекты, связанные с ядерной энергетикой. Несмотря на использование относительно старых эксплойтов, «Лаборатория Касперского» рекомендует не недооценивать эту группу, отмечая её способность компрометировать критически важные активы, в том числе военные и государственные структуры.

Ранее SideWinder концентрировалась на атаках в Южной и Юго-Восточной Азии, в частности, на государственных и военных учреждениях в Пакистане, Непале, Шри-Ланке и Китае. Среди её целей также были иностранные посольства и консульства в Афганистане, Франции, на Мальдивах, в Турции и Болгарии. Однако теперь группировка расширяет свою активность, выходя за рамки привычных секторов.

Исследования показали, что хакеры не полагаются на сложные и дорогие атаки с использованием zero-day уязвимостей, а делают ставку на надёжные, пусть и хорошо известные, инструменты. Они применяют стандартные эксплойты, трояны удалённого доступа (RAT) и вредоносные LNK-файлы для начального заражения. Это делает их атаки предсказуемыми, но при этом эффективными.

Первые попытки атак на морские объекты в Средиземноморье были зафиксированы летом 2023 года. С тех пор их интенсивность только растёт. В октябре 2024 года эксперты исследователи отмечали, что группа хоть и использует общедоступные инструменты, но обладает высоким уровнем организации и оперативности.

Эксперты рекомендуют организациям срочно обновить свои системы, устранив уязвимость CVE-2017-11882, и внедрить многоуровневую защиту, включающую мониторинг подозрительной активности, использование современных EDR -решений и повышение осведомлённости сотрудников о фишинговых атаках. Также важно отслеживать индикаторы компрометации, включая используемые домены и IP-адреса, чтобы своевременно обнаруживать присутствие атакующего в сети.

SideWinder способна быстро адаптировать свои методы и обновлять арсенал вредоносного ПО в течение нескольких часов, чтобы обходить защитные механизмы. Группировка остаётся активной угрозой и занимает ключевые позиции среди кибершпионских игроков в регионе.