Главная страница » Индикаторы компрометации
0
1 день
Индикаторы компрометации

SideWinder атакует госсектор Южной Азии: фишинг, эксплойты и кража данных

security

Группа хакеров SideWinder продолжает активные атаки на государственные учреждения Южной Азии, используя уязвимости в Microsoft Office и сложные методы обхода защиты. Исследователи Acronis Threat Research Unit (TRU) обнаружили новую кампанию, направленную на высокопоставленные структуры Шри-Ланки, Бангладеш и Пакистана.

Описание

Атаки начинаются с целевых фишинговых писем, содержащих вредоносные документы Word и RTF. Злоумышленники эксплуатируют давно известные уязвимости CVE-2017-0199 и CVE-2017-11882, позволяющие выполнить произвольный код при открытии файла. Для повышения эффективности атак SideWinder применяет геотаргетинг - вредоносная нагрузка доставляется только жертвам из определенных стран.

После успешного заражения злоумышленники внедряют многоступенчатые загрузчики, использующие shellcode для доставки финальной полезной нагрузки. Одним из ключевых инструментов в этой кампании стал StealerBot - вредоносная программа, предназначенная для кражи учетных данных и сохранения доступа к системам.

Особенностью SideWinder является использование серверного полиморфизма: каждый загружаемый файл генерируется уникальным, что затрудняет его обнаружение сигнатурными методами. Кроме того, злоумышленники активно применяют технику DLL-подмены (DLL sideloading), маскируя вредоносный код под легитимные процессы.

Среди подтвержденных целей атак - Центральный банк Шри-Ланки и 55-я дивизия армии этой страны. Также в фишинговых письмах упоминаются министерства обороны, финансов и иностранных дел, однако пока неясно, были ли эти организации реально атакованы или просто использовались для придания письмам достоверности.

SideWinder демонстрирует высокую оперативную гибкость, сочетая старые, но все еще эффективные уязвимости с современными методами уклонения от обнаружения. Исследователи рекомендуют организациям в регионе обновлять программное обеспечение, внедрять многофакторную аутентификацию и обучать сотрудников распознаванию фишинговых атак.

Индикаторы компрометации

Domains

  • 6441056b613c32a9.dwnlld.info
  • 7ef1996f-c463-4540-936a-70d0fd477f98.live-co.org
  • a5936441-e402-41e3-b02b-75af112074b5.org-co.net
  • advisary.army-govbd.info
  • advisory.army-govbd.info
  • amended.army-govbd.info
  • army-govbd.info
  • bismi.pro
  • bscic-gov-bd.dwnlld.info
  • cabinet-gov-bd.dwnlld.info
  • cabinet-gov-bd.org-liv.net
  • cirt-gov-bd.org-liv.net
  • customs-gov-lk.net-co.info
  • data-sob-gov-bd.live-co.org
  • dirsports.milqq.info
  • dwnlld.com
  • dwnlld.info
  • dwnlld.infomfa-gov-lk.dwnlld.info
  • email.sco.gov.pk.viewdoc.online
  • emv1.army-govbd.info
  • esxipubad-gov-lk.org-co.net
  • fa-gov-lk.dwnlld.info
  • geninstr.army-govbd.info
  • gov-lk.org-liv.net
  • gso2.mail163.info
  • hisidewinderSideWinder.pimec-paknavy.updates-installer.store
  • imec-paknavy.updates-installer.store
  • info-lanka.org
  • infomfa-gov-lk.dwnlld.info
  • interior-gov-pk.mail-govt.org
  • jtops.milqq.info
  • live-co.org
  • lolsidewinderSideWinder.nic-svc.net
  • mail.army-govbd.info
  • mail.nepla.gov.np.onlinestatus.live
  • mail.ntc.net.pk.onlinestatus.live
  • mail.ntc.net.pk.vpdf.online
  • mail.paf.gov.pk.onlinestatus.live
  • mail.pof.gov.pk.onlinestatus.live
  • mail163.info
  • mail-mofa-gov.org-liv.net
  • mfa-gov-lk.dwnlld.info
  • milqq.info
  • mod-gov-bd.dwnlld.info
  • mod-gov-bd.live-co.org
  • mod-gov-bd.org-liv.net
  • modltr.info-lanka.org
  • modpak.live
  • mofa-gov-bd.dwnlld.info
  • mofa-gov-bd.live-co.org
  • mofa-gov-np.live-co.org
  • mofa-gov-np.net-src.info
  • mofa-gov-np.org-liv.net
  • mof-gov-bd.nic-svc.net
  • mof-gov-np.dwnlld.info
  • moitt-gov-pk.dwnlld.info
  • net-co.info
  • net-src.info
  • nic-svc.net
  • onlinestatus.live
  • org-co.net
  • org-liv.net
  • paknavy.modpak.live
  • pimec-paknavy.updates-installer.store
  • postmaster.net-co.info
  • prison-gov-bd.dwnlld.info
  • probashi-gov-bd.mail-govt.org
  • probashi-gov-bd.net-src.info
  • pubad-gov-lk.live-co.org
  • pubad-gov-lk.net-src.info
  • pubad-gov-lk.org-co.net
  • pubad-gov-lk.org-liv.net
  • treasury-gov-lk.nic-svc.net
  • updates-installer.store
  • viewdoc.online
  • vpdf.online
  • www.army-govbd.info
  • www.customs-gov-lk.net-co.info
  • www.dwnlld.info
  • www.info-lanka.org
  • www.treasury-gov-lk.nic-svc.net
  • www-cabinetoffice-gov-lk.mail-govt.org
  • www-cbsl-gov-lk.dwnlld.com
  • www-cbsl-gov-lk.dwnlld.info
  • www-cbsl-gov-lk.dwnlld.infomfa-gov-lk.dwnlld.info
  • www-erd-gov-lk.dwnlld.info
  • www-erd-gov-lk.nic-svc.net
  • www-presidentsoffice-gov-lk.dwnlld.com
  • www-treasury-gov-lk.org-liv.net
  • wwww.nic-svc.net
  • xcfhg.dwnlld.info

SHA256

  • 00877fcfb31fdc23ca6987e569090f761ed414bdee0546bdbd3ce3acc44cc293
  • 0a7fce4e7456ecb12c95d28b6b4d263d9ca23a1de1e298234a904a319be6e708
  • 1321fc1eefc3d3f5aae16a81ac139a31beaf2355935d94210abf69253d29b486
  • 1527cf10f00c798262b3347c00af8028fee3bc88a450bc2df7766b1118c62cd5
  • 15cf5271c7b9b8ad22c4c96bc8674d9835e8d419fc1a6077f3b59fbd7e59d112
  • 1c68ca3ede75946568bb00c39b7054cb2ae4fcbe2805061e38ed15f4d526262c
  • 208c335a3cccbdba6b1ec0c76ad3b751c6409712e493c24e2532a389d887e0af
  • 22527dd1a62dc46dd4edd23a681657cf4c3477e9f90fb1ef63ef657608b9838c
  • 2be8ca1e2415b5ca1605977b2ff10ff9aef06e3be7eb39496bb18d3ba7772901
  • 2d92d24b3abed7acac165b002bd5922f8f17b6e4944e658938fe022902fe6a7e
  • 32e2d29143f57335c6477dc764350fed13b7e3873fb06491d9863a95b8921e92
  • 35cc327806ae0d760b94a5b3daedea9cdcb2ed0854a484c8ec3cded195e75037
  • 40712a087a8280425f1b317e34e265c0329ffb0057be298d519fc5e0af6cb58f
  • 46785f7e5cd2966d30167cbd496333a5dd871b19e6a2833ab1a4157fc35e8ee5
  • 47d77499968244911d0179fb858578de00dbb98079e33f5ed5d229d03eb04d67
  • 54c4641f709e51622531dc3d04fd2f4a3bad2a42dca287e2777c04d59cbca789
  • 558de2a01fbd76be171561c3c82fd6a8e2d4c913444850af99d44a4cfb41b680
  • 57b9744b30903c7741e9966882815e1467be1115cbd6798ad4bfb3d334d3523d
  • 5891f4dfa47d5b268c5d82366c312ecda715da91e148afa6064f3058f3c5a69b
  • 5b5a1833d4daaf05699a009316a4d866851130b258f424f066b867a534ba944d
  • 5ec639facb2cb9503059d519790279f1b9f510d8d63a2a2c44637b1d1dd1e538
  • 63f5445527c47e17b71e87eef4dd7a86883607a22830bcee5b1fabc5d03bab38
  • 65c9e15d9b916b193ce1d96bb99c1c1f3ade0273270b56cf6e476a21b31a3491
  • 663a7b509db86ca498af57cc458139a76ee07c60d413d60a98921c7e901e0e3d
  • 677b4d9efcfcae9cbbd39b2b2cdc0df69d4a55460814747f60f35ea2e81dad2e
  • 69eee36642f274c724fadcfdf1f103ae0fd9b5f4bad7ac6a33b3c627d6114426
  • 725ded50e7f517addd12f029aeaf9a23f2b9ce6239b98820c8a12ea5cb79dbfa
  • 7363887b6b0fe7cece3c21ad18515835922379c7d78c47cea745940a1061a6c4
  • 74111c9b0ed748fc6bfc025d13a2ed08663b988cb69c044f1c6f153f9020294c
  • 896ddb35cde29b51ec5cf0da0197605d5fd754c1f9f45e97d40cd287fb5a2d25
  • 8d00c97d16e3733feee6b1bc6bd77b8423e0b79a812db55880f5b2d751a4bd47
  • 8dd189e390b168bff6caa82d5077f4eda8902c251fe0a0120aa42bd78e56f9bc
  • 96d429d67a2663ef2cf3f45ccd0619adf0cd030f7fe70f072af1ce1d67ec52a3
  • 9700f9b614aa87c6137c4325951e59258cdb87f02df7a5ed4f4accea279ede26
  • 9b76d98c2641512c66e8f2f99b2d0bda86ec1a4809420b74feadfb8f4f7dbf48
  • a61335c10cf98064761806af6451b3cddd66641ccb35a6d8b915a02d6279f46a
  • a90fd0e3d3be14b92b3dc809ddea9a0cc377b130ebb4c48a8891e4832a85c412
  • ac13697c19cf0b6767442fc001ca48d0d9e3c9340549d3e73539ea299e27015e
  • bb9acc2d23afee3265b81326ce65cfddde3fc04648d3ba2d2ea22ec0e3d8f90e
  • d3fb61c0211bd379bf80f15cf072fdbc1187fe95546fdfcfcbdf8918004f05e2
  • dc7066d972367f15c9b6e2e36a5c643ab87deed958cc27ac0fbf0ff1f4535a99
  • de54f8933ff81f93652ab824e8f9e60197135e1064f0ca4ca99df833a7a94e9d
  • e33e74e3925bc3f287ef817a186807a38d411524984a5d0930939646022206b0
  • f464ad5c6aba13b42aa903bda0add7c074d45388da379747c83f2c3756c9b658
  • fa5a3e215e4970b0c39b6bbfb9425aa6ee4a8bc1359d85f7052d99e663aee333
  • fb4695b45ac62e10f29e9a45c4190dce2fe6af71a96a2bd66e08c1a99416cc7e
  • fb50c60c237ea00f29e4876b326f5f8e872f5ad6d1ca7c9925d9b901e573f788
  • ffd26019b21da5833caf2b6974cbc9ce79d911653cdfbb6e59a8ac7d4cc80f51
  • ffebc5f8fc3a0346f9767c64b5b040d7679e1d3726024e59fe134825e31c8b8c
Комментарии: 0
Похожие записи
0
3 минуты
Индикаторы компрометации

DarkGaboon: новая волна кибератак на российские компании с использованием шифровальщика LockBit

APT
Группа киберразведки PT ESC выявила активность ранее неизвестной APT-группировки DarkGaboon, которая с весны 2023 года атакует российские компании с целью финансового вымогательства.
0
1 час
Индикаторы компрометации

Operation Sindoor: Киберштурм на критическую инфраструктуру Индии

APT
Seqrite Labs, крупнейшая в Индии лаборатория анализа вредоносного ПО, зафиксировала масштабную киберкампанию под кодовым названием Operation Sindoor. В ней участвовали как государственные хакерские группировки
0
2 часа
Индикаторы компрометации

Китайская телекоммуникационная отрасль под атакой: вредоносные программы VELETRIX и VShell в рамках операции DRAGONCLONE

APT
Специалисты Seqrite Labs APT-Team обнаружили целевую кампанию против китайской телекоммуникационной отрасли, в частности против China Mobile Tietong Co., Ltd. - дочерней компании China Mobile, одного из крупнейших операторов связи в Китае.
0
3 часа
Индикаторы компрометации

Китай обвиняет Тайвань в организации кибератак при поддержке США

APT
Китайские власти обвинили власти Тайваня, представленные Демократической прогрессивной партией (ДПП), в организации серии сложных кибератак через группы Advanced Persistent Threat (APT).