APT Sidewinder атакует правительственные и военные учреждения Южной Азии с помощью поддельных страниц входа

Фокус атаки: фишинг под видом государственных порталов

APT Sidewinder активно эксплуатирует уязвимости человеческого фактора, создавая точные копии интерфейсов почтовых сервисов и файлообменных систем. Для размещения фальшивых страниц злоумышленники используют бесплатные хостинги, такие как Netlify и Pages.dev, что позволяет им быстро развертывать инфраструктуру и избегать обнаружения.

В ходе расследования была обнаружена сеть фишинговых доменов, которые имитировали официальные порталы:

• Поддельная страница входа в почтовую систему Непала ("mail-mod-gov-np-account-file-data[.]netlify[.]app"), перенаправляющая введенные данные на сервер "mailbox3-inbox1-bd[.]com".
• Ложные порталы для загрузки файлов, связанных с Министерством обороны Бангладеш и турецкими оборонными компаниями, такими как ASELSAN и ROKETSAN.

Все фишинговые страницы использовали метод POST для скрытой передачи украденных учетных данных на серверы злоумышленников.

Параллельные кампании и инфраструктура

Исследование выявило несколько доменов ("mailbox3-inbox1-bd.com", "mailbox-inbox-bd.com"), которые работали как центральные узлы сбора данных. Эти серверы размещались на IP-адресе "146.70.118.226", зарегистрированном у немецкого хостинг-провайдера M247 Europe SRL, известного своей анонимностью.

Анализ показал, что злоумышленники активно меняют пути отправки данных (например, "/dgdp12.php", "/idef.php"), чтобы обойти блокировки. Это свидетельствует о гибкой тактике и адаптивности APT Sidewinder.

Признаки связи с предыдущими атаками

Сравнение с ранее зафиксированными кампаниями Sidewinder выявило схожие методы:

• Использование субдоменов типа "updatemind52.com", маскирующихся под официальные правительственные ресурсы.
• Одинаковые визуальные элементы фишинговых страниц, включая копии интерфейса Zimbra.

Подобные атаки ранее фиксировались в Шри-Ланке, где злоумышленники имитировали вход в систему Министерства обороны.

APT Sidewinder остается серьезной угрозой для государственных учреждений Южной Азии, и своевременное обнаружение их инфраструктуры - ключевой фактор в предотвращении утечек данных.

IPv4

• 146.70.118.226

Domains

• mail.aselsan.com.tr
• mailbox3-inbox1-bd.com
• mailbox-inbox-bd.com

URLs

• https://dgdp.cloud.secured.file.updatemind52.com/FOWSMNcl
• https://dgdp-account-file-data-doc-procuremen.netlify.app/
• https://drive-rokectsaans-com-tr-account-file.netlify.app/
• https://drive-roketsans-com-tr-account-files.netlify.app/
• https://idef2025-com-tr-files-drive-account.netlify.app/
• https://idef-2025-conf-data-file-tr-account-d.netlify.app/
• https://mail.gov.bd.account.file.updatemind52.com/CeqKyQXz
• https://mail-aselsans-com-tr-account-files-da.netlify.app/error.html?pdf=
• https://mail-baf-mil-bd-account-data-files-document.pages.dev/
• https://mail-bof-gov-file-account-conf-files.netlify.app/?pdf=
• https://mailbox3-inbox1-bd.com/2135.php
• https://mailbox3-inbox1-bd.com/asln/2.php
• https://mailbox3-inbox1-bd.com/dgdp12.php
• https://mailbox3-inbox1-bd.com/idef.php
• https://mailbox3-inbox1-bd.com/idef11.php
• https://mailbox-inbox-bd.com/dgdp/109y.php
• https://mailbox-inbox-bd.com/gov.ph
• https://mailbox-inbox-bd.com/pol/pol3.php
• https://mail-dgfi-gov-bd-accounts-file-data-d.netlify.app/?pdf=ealb.gso2.protocol@dgfi.gov.bd
• https://mail-mod-gov-bd-account-conf-files.netlify.app/?pdf=
• https://mail-mod-gov-np-account-file-data[.]netlify[.]app/bof.html
• https://webmail.police.gov.bd.updatemind52.com/dPrSJhFP