Новая кампания SideWinder APT маскируется под Налоговый департамент Индии для шпионажа

Эксперты по киберразведке Zscaler Threat Hunting выявили сложную кампанию цифрового шпионажа, нацеленную на организации в Индии. Злоумышленники выдают себя за Налоговый департамент страны. Проанализировав полный цикл атаки, исследователи связали эту активность с продвинутой постоянной угрозой (APT) SideWinder, также известной как Rattlesnake или APT-C-17. Важным открытием стало обновление инструментария этой группы: для уклонения от обнаружения они начали маскировать вредоносное ПО под китайское корпоративное программное обеспечение.

Описание

Кампания носит высокоселективный характер и нацелена на предприятия в Азиатско-Тихоокеанском регионе, работающие в сфере услуг, розничной торговли, телекоммуникаций и здравоохранения. Для первоначального доступа злоумышленники создали фишинговые порталы, имитирующие сайт индийского налогового ведомства.

Ключевой особенностью атаки является использование техники DLL side-loading. Для этого применяется легитимный исполняемый файл Microsoft Defender "SenseCE.exe". Этот доверенный системный процесс принудительно загружает вредоносную библиотеку "MpGear.dll", что позволяет обходить защиту систем обнаружения и предотвращения вторжений (IDS/IPS) на конечных точках. Фактически вредоносный код выполняется в памяти, не оставляя следов на диске, что затрудняет его обнаружение традиционными антивирусными сканерами.

Для распространения вредоносной нагрузки (payload) и скрытия своей инфраструктуры группа SideWinder активно использует публичные облачные хранилища, такие как GoFile, а также легитимные сервисы сокращения ссылок, в частности "surl.li". Это позволяет им уклоняться от детектирования, основанного на репутации доменов.

Расследование Zscaler началось после обнаружения в телеметрии Zscaler Internet Access (ZIA) аномального всплеска переходов по сокращенным ссылкам "surl.li" из сетей индийских организаций. За этими переходами сразу следовали соединения с файлообменным сервисом "gofile.io". Корреляция таких бюрократических приманок, как «Проверка» и «Налоги», с подозрительной активностью загрузки DLL-файлов указала на возможную операцию APT.

В ходе расследования, построенного на методологии TRACER, аналитикам удалось восстановить сессию жертвы, идентифицировать фишинговую страницу ("gfmqvip.vip") и проанализировать скачанный архив "Inspection.zip". Это позволило полностью восстановить цепочку заражения. Была также обнаружена характерная гео-привязка: вредоносная программа проверяла часовой пояс системы через публичные API ("timeapi.io", "worldtimeapi.org") и активировалась только на машинах с индийским временем (UTC+5:30), что подтверждает высокую избирательность атаки.

Основная сложность обнаружения подобных атак, использующих методы «жизни за счет доверенного ПО» (Living Off Trusted Binaries), заключается в том, что безопасные процессы, такие как "SenseCE.exe", обычно находятся в белых списках систем безопасности. Для центра обеспечения безопасности (SOC) такая активность выглядит как рутинная операция Windows Defender. Однако платформа Zero Trust Exchange от Zscaler, осуществляющая инспекцию SSL/TLS-трафика, позволяет увидеть полный контекст: от перехода на поддельный сайт до скачивания архива и последующего соединения с командным сервером.

Для защиты от подобных угроз Zscaler рекомендует организациям принять ряд мер. На сетевом уровне следует блокировать трафик к известным командным серверам SideWinder и отслеживать необычные исходящие подключения к API проверки времени от процессов, не связанных с браузером. На уровне конечных точек необходимо настраивать оповещения о запуске "SenseCE.exe" из пользовательских каталогов, например «Загрузки», а не из системной папки "Program Files". Также важно отслеживать создание подозрительных файлов, таких как "C:\install\mysetup.exe".

Со стороны решений Zscaler критически важно обеспечить работу Advanced Threat Protection в ZIA для блокировки известных доменов командных серверов, настроить строгий карантин для архивных файлов, скачанных с файлообменных сайтов, и обязательно включить полную инспекцию SSL-трафика для выявления скрытого вредоносного трафика.

Данная кампания наглядно демонстрирует растущую изощренность группы SideWinder. Они сочетают целенаправленные фишинговые приманки, имитирующие государственные органы, с продвинутыми техниками маскировки под легитимное ПО. Это позволяет им эффективно обходить традиционные системы защиты и оставаться серьезной угрозой для критически важных секторов в Индии и других странах региона. Борьба с такими скрытыми угрозами требует не просто реагирования на алерты, а проведения активных расследований (threat hunting) для выявления слабых сигналов в огромном массиве телеметрии.