SideWinder се насочва към важни сектори, включително и в България

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Групата APT SideWinder е насочена към морски и логистични компании на Балканите, Южна и Югоизточна Азия, Близкия изток и Африка.

Изследователите на Kaspersky предупреждават, че APT групата SideWinder (известна още като Razor Tiger, Rattlesnake и T-APT-04) се насочва към морски, логистични, ядрени, телекомуникационни и ИТ сектори на Балканите,  Южна Азия, Югоизточна Азия, Близкия изток и Африка.

SideWinder (известна също като Razor Tiger, Rattlesnake и T-APT-04) е активна поне от 2012 г. Групата е насочена главно към полицията, военните, морските и военноморските сили на страните от Централна Азия. При атаките през 2022 г. участниците в заплахата са се насочили и към министерствата на външните работи, научните и отбранителните организации, авиацията, ИТ индустрията и юридическите фирми.

Акторът на заплахата поддържа голяма C2 инфраструктура, съставена от над 400 домейна и поддомейна, които са били използвани за хостване на злонамерени товари и за тяхното управление.

Kaspersky наблюдава, че SideWinder разширява атаките си през 2024 г., с нарастваща активност в Египет, Азия и Африка.

Някои от атаките, наблюдавани от руската фирма за киберсигурност, показват фокусиране върху атомни електроцентрали и ядрена енергия в Южна Азия и по-нататъшно разширяване на дейността в нови африкански държави.

SideWinder APT

SideWinder бързо се адаптира към откритията на сигурността, като модифицира зловредния софтуер в рамките на часове, променяйки тактиките, техниките и процедурите. Групата е забелязана да променя имената на файловете, за да поддържа устойчивост и да избягва защитата.

„След като инструментите им бъдат идентифицирани, те реагират, като генерират нова и модифицирана версия на зловредния софтуер, често за по-малко от пет часа. Ако се появят поведенчески открития, SideWinder се опитва да промени техниките, използвани за поддържане на устойчивост и зареждане на компоненти. Освен това те променят имената и пътищата на своите зловредни файлове.“ – се казва в доклада, публикуван от Kaspersky. „По този начин наблюдението и откриването на дейностите на групата ни напомня на игра на пинг-понг“.

Моделът на заразяване, наблюдаван през втората половина на 2024 г., съответства на описания в предишната статия.

Потокът на заразяване е същият като при предишните атаки, участниците в заплахите изпращат spear-phishing имейли с прикачен DOCX файл. Документът зарежда файл с шаблон RTF, съхраняван на отдалечен сървър, контролиран от нападателя. Файлът се възползва от недостатък в паметта на Microsoft Office, проследен като CVE-2017-11882, за да стартира зловреден shellcode и да инициира процес на заразяване на няколко нива. Последният етап от веригата на атаката е зловреден софтуер, наречен „Backdoor Loader“, който зарежда персонализиран набор от инструменти за последващо експлоатиране, наречен „StealerBot“.

„По време на разследването открихме нова C++ версия на компонента „Backdoor Loader“. Логиката на зловредния софтуер е същата като тази, използвана в .NET вариантите, но C++ версията се различава от .NET имплантите по това, че в нея липсват техники за антианализ. Освен това повечето от образците са били пригодени за конкретни цели, тъй като са били конфигурирани да зареждат втория етап от определен път към файл, вграден в кода, който включва и името на потребителя.“ – продължава докладът. „Това показва, че тези варианти вероятно са били използвани след фазата на заразяване и са били ръчно разгърнати от нападателя в рамките на вече компрометираната инфраструктура, след като е валидирал жертвата.“

Повечето открити документи за примамки са фокусирани върху правителствени и дипломатически въпроси, въпреки че някои от тях обхващат общи теми като отдаване на коли под наем, недвижими имоти и предложения за работа на свободна практика.

„SideWinder е много активен и устойчив участник, който постоянно се развива и подобрява своите комплекти от инструменти. Основният му метод за заразяване е използването на стара уязвимост на Microsoft Office, CVE-2017-11882, което още веднъж подчертава изключителната важност на инсталирането на пачове за сигурност.“ – завършва докладът. „Въпреки използването на стар експлойт, не трябва да подценяваме този участник в заплахата. Всъщност SideWinder вече е демонстрирал способността си да компрометира критични активи и високопоставени структури, включително военни и правителствени.“

#атаки, # България
По материали от Интернет

Подобни

Supply-chain атака компрометира AppsFlyer Web SDK
16.03.2026
0427_cyberattack
ФБР разследва зловредни Steam игри
16.03.2026
FBI__headpic
Storm-2561 разпространява фалшиви VPN клиенти за кражба на данни
15.03.2026
stefancoders-vpn-shield-4634563_640
Кибератака с wiper малуер срещу Stryker
13.03.2026
181213-iran-hacking
Нова кампания със зловреден софтуер преди наградите Оскар
13.03.2026
pirate-flag-7541041_640
Глобална кампания компрометира WordPress сайтове
13.03.2026
wordpress

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.