Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Группировка SideWinder атакует морскую инфраструктуру в Азиатском и Европейском регионах

30/07/24

depositphotos_2285474_xs

Исследовательская группа BlackBerry обнаружила новую кампанию известной хакерской группы SideWinder, которая теперь использует обновлённую инфраструктуру и методы для компрометации жертв. В результате анализа данных стало ясно, что новая вредоносная операция нацелена на порты и морские объекты в Индийском океане и Средиземном море.

Хакеры используют фишинговые письма с логотипами и темами, специфичными для портов в Пакистане, Египте и Шри-Ланке, а также поддомены, указывающие на дополнительные цели в Бангладеш, Мьянме, Непале и на Мальдивах. Целью этих атак является шпионаж и сбор разведданных, пишет Securitylab.

Группа SideWinder, известная также как Razor Tiger, Rattlesnake и T-APT-04, ведёт свою деятельность с 2012 года и, как полагают исследователи, имеет прямое отношение к Индии. Группа ранее атаковала военные, правительственные и бизнес-структуры, сосредоточившись на Пакистане, Афганистане, Китае и Непале.

Для своих атак SideWinder использует методы целевого фишинга, эксплуатацию офисных документов и DLL Sideloading. В ходе кампании выяснилось, что начинается всё, как правило, с того, что жертва скачивает и открывает заражённый документ, имеющий низкий уровень обнаружения на VirusTotal, что запускает следующую фазу атаки.

Документы-фальшивки, используемые в этих атаках, выглядят как легитимные документы от официальных организаций. В одной из атак использовались документы, имитирующие документы портовой инфраструктуры, включая Порт Александрии в Средиземном море и Портовое управление Красного моря.

Цель этих документов — вызвать у жертвы сильные эмоции, такие как страх или тревогу, чтобы побудить её немедленно открыть файл. Например, фальшивые письма содержали такие фразы, как «увольнение сотрудников» и «снижение зарплаты», что отвлекало жертву от любых подозрений.

Технический анализ показал, что SideWinder использует уязвимость CVE-2017-0199 в Microsoft Office для начальной компрометации системы. Вредоносные документы содержат URL-адреса, ведущие на сайты, контролируемые хакерами, где и загружаются дополнительные вредоносные файлы.

Следующим этапом атаки является загрузка RTF-файла, который эксплуатирует уязвимость CVE-2017-11882, включая шелл-код для проверки системы жертвы. Если система подходит, программа расшифровывает и запускает JavaScript-код, загружая следующую стадию атаки с удалённого сервера.

В сети SideWinder были выявлены домены и IP-адреса, используемые для командно-контрольной инфраструктуры, включая старый узел Tor для маскировки анализа трафика.

Исследователи продолжают отслеживать деятельность группы и публиковать индикаторы компрометации (IoC) для защиты организаций от атак SideWinder. 

Темы:BlackberryПреступленияфишингсудоходство
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...