28/10/25
Сентябрьская атака на посольство европейской страны в Нью-Дели раскрыла масштабную шпионскую операцию, в которой были задействованы дипломатические учреждения сразу нескольких государств Южной Азии. Специалисты Trellix связали эти действия с группировкой SideWinder, известной своим присутствием в регионе. Новый этап кампании характеризовался изменением методов: помимо привычных вредоносных документов Word, злоумышленники перешли к использованию PDF-файлов с внедрённой схемой загрузки через ClickOnce. Это передаёт Securitylab.
Фишинговые письма распространялись в несколько волн с марта по сентябрь 2025 года. В первой волне атаки пришлись на учреждения Бангладеш, где получателям предлагалось открыть якобы официальные документы, связанные с хаджем, с просьбой установить последнюю версию Adobe Reader для просмотра содержимого.
Ссылки на вредоносные загрузки маскировались под сайты, оформленные под правительственные ресурсы страны. Во второй фазе, охватившей период до августа, цель сместилась на пакистанских дипломатов. Тогда к поддельному обновлению Adobe Reader добавился Word-файл с уязвимостью CVE-2017-0199. Документы этой волны имитировали служебную документацию, связанную с военными и правительственными назначениями.
Летом и осенью атаки переместились в Шри-Ланку и затем вернулись в Индию, где были атакованы диппредставительства с помощью фальшивых файлов, содержащих темы межправительственных совещаний, визитных машин и анализа конфликта между Индией и Пакистаном. Технически ключевым элементом атаки стал PDF-файл, в котором пользователь сталкивался с неотображаемым содержимым и приглашением установить Adobe Reader. Нажатие на кнопку запускало загрузку ClickOnce-приложения с серверов злоумышленников.
Эти приложения были подписаны действующим сертификатом компании MagTek Inc., что позволяло обойти предупреждения Windows. Однако вместо вредоносной подделки использовалось легитимное приложение от MagTek, в которое незаметно подгружалась DLL-библиотека с вредоносным кодом. Библиотека DEVOBJ.dll выполняла дешифровку и запуск следующего этапа атаки —.NET-загрузчика App.dll, который в свою очередь загружал основной компонент, известный как ModuleInstaller.
ModuleInstaller анализировал систему, после чего загружал набор дополнительных файлов: вспомогательные библиотеки, зашифрованные объекты и основной исполняемый файл TapiUnattend.exe. Последний использовался для побочной загрузки ещё одной DLL — wdscore.dll, содержавшей шпионскую функциональность.
Конечным звеном цепочки становился StealerBot — модуль, способный к расширению за счёт плагинов, включая модуль IPHelper для проксирования трафика. Вся коммуникация с серверами управления строилась через HTTPS с использованием геоблокировок, которые ограничивали доступ к вредоносным компонентам по географическому признаку.
Злоумышленники использовали динамически генерируемые URL-адреса и временные ограничения на доступность компонентов. Это делало практически невозможным повторный анализ уже загруженных образцов — большинство доменов быстро становились неактивными. Кроме того, почти каждый файл собирался индивидуально под конкретного получателя, что исключало применение стандартных индикаторов компрометации.
Эту операцию связывают с группой SideWinder по ряду причин: типичных целей в Южной Азии, схожих тем в фишинговых письмах, использовании фирменных вредоносных инструментов и инфраструктуры, известной по предыдущим инцидентам. Ранее зарегистрированные домены, связанные с этой группировкой, вновь всплыли в ходе расследования, а комбинация PDF-файлов, загрузчиков и шпионских модулей повторяет методы, зафиксированные в предыдущих атаках SideWinder.
