Главная страница » Индикаторы компрометации
0
4 дня
Индикаторы компрометации

SideWinder меняет тактику: новая цепочка заражения через PDF и ClickOnce нацелена на дипломатов

APT

APT Группа SideWinder, известная своей шпионской деятельностью в Азии, провела в 2025 году масштабную фишинговую кампанию, нацеленную на дипломатические учреждения в Южной Азии. Исследователи из Trellix Advanced Research Center (ARC) зафиксировали новую для данной группы тактику: использование цепочки заражения на основе PDF-документов и технологии ClickOnce для скрытной доставки шпионского вредоносного обеспечения.

Описание

Кампания, проходившая несколькими волнами с марта по сентябрь 2025 года, была нацелена на государственные учреждения и дипломатов Бангладеш, Пакистана, Шри-Ланки, а также на европейское посольство в Нью-Дели, Индия. Целью атак был сбор разведывательных данных с помощью вредоносных программ ModuleInstaller и StealerBot.

Эволюция тактики SideWinder проявилась в использовании нового вектора атаки. Исторически группа полагалась на вредоносные документы Microsoft Word, однако в этой кампании был внедрен более изощренный метод. Злоумышленники рассылали фишинговые письма с вложениями в формате PDF, которые маскировались под официальные документы, такие как «Регистрационная форма.pdf», «Назначение координатором премьер-министра.pdf» или «Индо-пакистанский конфликт - стратегический и тактический анализ мая 2025.docx». Для просмотра содержимого документа жертве предлагалось нажать на кнопку в файле, чтобы «скачать последнюю версию Adobe Reader».

Нажатие на кнопку приводило к загрузке и исполнению ClickOnce-приложения - технологии Microsoft для развертывания приложений. Критически важным аспектом данной атаки стало использование злоумышленниками легитимного приложения MagTek Reader Configuration. SideWinder скомпрометировали его, подменив ключевые компоненты для доставки вредоносной нагрузки. Приложение было переименовано в «Adobe Compatibility Suite» и использовало значок Adobe Reader, что усиливало маскировку. Важно отметить, что само ClickOnce-приложение имело действительную цифровую подпись от компании MagTek Inc., что позволяло обходить предупреждения системы безопасности Windows. Это не означает кражу сертификата; вместо этого злоумышленники использовали технику под названием side-loading (побочная загрузка), при которой легитимное подписанное приложение загружает неподписанную вредоносную библиотеку DLL.

Вредоносная библиотека DEVOBJ.dll, загружаемая в системе, служила загрузчиком для многостадийного вредоносного обеспечения. Она расшифровывала следующий компонент, App.dll, с помощью простой операции XOR, используя первые 42 байта зашифрованного файла в качестве ключа. Этот .NET-загрузчик, в свою очередь, скачивал с командного сервера (CnC) основной модуль ModuleInstaller. Для маскировки его выполнения использовались системные утилиты mshta.exe или pcalua.exe, особенно если в системе обнаруживался антивирус Avast, AVG или Kaspersky.

Финальным этапом цепочки была загрузка шпионского модуля StealerBot, который внедрялся в систему через легитимное приложение TapiUnattend.exe, загружая вредоносную библиотеку wdscore.dll. StealerBot предназначен для кражи конфиденциальных данных и может расширять свой функционал за счет дополнительных модулей, таких как IPHelper.dll для управления прокси-соединениями.

Инфраструктура атаки была организована с высокой степенью скрытности. Исследователи отметили применение геоблокировки (geofencing): серверы выдавали вредоносные payload (полезные нагрузки) только при запросах с IP-адресов целевого региона (Южная Азия), что серьезно затрудняло анализ для международных исследовательских команд. Кроме того, использовались динамически генерируемые URL-адреса, а хеши файлов в манифесте ClickOnce обновлялись для каждой жертвы, что указывает на полиморфизм вредоносных компонентов. Доступ к некоторым payload был ограничен по времени, делая их недоступными для сбора вскоре после заражения цели.

Атрибуция кампании группе SideWinder была проведена Trellix с высокой степенью уверенности. На это указывает соответствие цели атак - государственные структуры стран Южной Азии, что является визитной карточкой группы. Использование доменов, таких как updates-installer[.]store, ранее уже связывалось с деятельностью SideWinder. Применение специфического вредоносного обеспечения ModuleInstaller и StealerBot, а также тактик, таких как фишинговые приманки с поддельными обновлениями Adobe Reader и эксплуатация уязвимости CVE-2017-0199, окончательно подтверждает принадлежность кампании.

Данная кампания демонстрирует постоянную эволюцию группы SideWinder. Их переход на сложные цепочки заражения, использование легитимных подписанных приложений для обхода защиты и внедрение продвинутых методов уклонения от обнаружения подчеркивают необходимость для организаций, особенно в государственном секторе целевых регионов, внедрять многоуровневую защиту. Критически важными являются обучение пользователей для противодействия фишингу, анализ поведения приложений для выявления техник side-loading, а также мониторинг сетевой активности на предмет соединений с подозрительными доменами, даже если они используют геоблокировку.

Индикаторы компрометации

Domains

  • adobe.pdf-downlod.com
  • cabinet-gov-pk.dytt888.net
  • cadetcollege.adobeglobal.com
  • exosel.info
  • hajjmedicalteam.adobeglobal.com
  • hajjtraining2025.moragovt.net
  • mofa-gov-bd.filenest.live
  • mos-gov-bd.snagdrive.com
  • ostcone.site
  • pimec-paknavy.updates-installer.store
  • pmo-gov-pk.filenest.live
  • pubad-gov-lk.download-doc.net
  • www-parliament-lk.snagdrive.com
  • www-treasury-gov-lk.snagdrive.com

URLs

  • https://adobe.pdf-downlod.com/[8_random_hex_values]_updates/adobe-reader
  • https://adobe.pdf-downlod.com/4dfbdf2b_updates/adobe-reader
  • https://adobe.pdf-downlod.com/updates-[8_random_hex_values]/adobe-reader
  • https://adobe.pdf-downlod.com/updates-b1139620/adobe-reader
  • https://cabinet-gov-pk.dytt888.net/[8_random_numeric_values]-circular/adobe-reader
  • https://cabinet-gov-pk.dytt888.net/43098866-circular/adobe-reader
  • https://cadetcollege.adobeglobal.com/registration/[8_random_numeric_values]/adobe-reader
  • https://cadetcollege.adobeglobal.com/registration/00198727/adobe-reader
  • https://exosel.info/202/gYvXAIX6GGFkjJpAVSC5ls2CfMe66s8uwB1X5QZC/32349/17276/59fc0fdf
  • https://hajjmedicalteam.adobeglobal.com/bangladesh/[8_random_numeric_values]/adobe-reader
  • https://hajjmedicalteam.adobeglobal.com/bangladesh/73439525/adobe-reader
  • https://hajjmedicalteam.adobeglobal.com/bangladesh/85758038/adobe-reader
  • https://hajjtraining2025.moragovt.net/[8_random_hex_values]-schedule/adobe-reader
  • https://hajjtraining2025.moragovt.net/2a12968d-schedule/adobe-reader
  • https://mocat-gov-bd.filenest.live/88555949/adobe-reader
  • https://mod-gov-bd.snagdrive.com/[8_random_hex_values]/adobe-reader
  • https://mod-gov-bd.snagdrive.com/80097355/adobe-reader
  • https://mod-gov-bd.snagdrive.com/ce692827/adobe-reader
  • https://mofa-gov-bd.filenest.live/[8_random_numeric_values]
  • https://mofa-gov-bd.filenest.live/[8_random_numeric_values]/adobe-reader
  • https://mofa-gov-bd.filenest.live/17070638/adobe-reader
  • https://mofa-gov-bd.filenest.live/48686010/adobe-reader
  • https://mofa-gov-bd.filenest.live/9b156a35/adobe-reader
  • https://mofa-gov-bd.snagdrive.com/a18939fc/adobe-reader
  • https://mos-gov-bd.snagdrive.com/[32_random_hex_values]/co/adobe-reader
  • https://mos-gov-bd.snagdrive.com/[8_random_hex_values]
  • https://mos-gov-bd.snagdrive.com/b80873e7/adobe-reader
  • https://ostcone.site/202/q2cBahBKeA3vl6AijbYx1Mz9yAt5a1OvNHPv8api/32349/17303/88efad0d
  • https://pimec-paknavy.updates-installer.store/[8_random_hex_values]_1/Microsoft_License.rtf
  • https://pimec-paknavy.updates-installer.store/1/[8_random_hex_values]/adobe-reader
  • https://pimec-paknavy.updates-installer.store/1/7ab8fb0a/adobe-reader
  • https://pmo-gov-pk.filenest.live/[8_random_hex_values]-conflict
  • https://pmo-gov-pk.filenest.live/17316/1/32349/2/32/0/0/m/files-[8_random_hex_values]/
  • https://pmo-gov-pk.filenest.live/17316/1/32349/2/32/0/0/m/files-d5187655/
  • https://pubad-gov-lk.download-doc.net/[8_random_hex_values]/adobe-reader
  • https://pubad-gov-lk.download-doc.net/09c3c5c1/adobe-reader
  • https://pubad-gov-lk.download-doc.net/41498067/adobe-reader
  • https://pubad-gov-lk.download-doc.net/8a24a2e6/adobe-reader
  • https://www-parliament-lk.snagdrive.com/[8_random_hex_values]/adobe-reader
  • https://www-parliament-lk.snagdrive.com/e8147089/adobe-reader
  • https://www-treasury-gov-lk.snagdrive.com/[8_random_numeric_values]/adobe-reader
  • https://www-treasury-gov-lk.snagdrive.com/69570935/adobe-reader

Emails

  • asresearch@mofa.gov.bd.pk-mail.org
  • d11@mod.gov.bd.pk-mail.org
  • d17@mod.gov.bd.pk-mail.org
  • ds.plann2@mos.gov.bd.pk-mail.org
  • js.admn@pmo.gov.pk-mail.org
  • mau@mofa.gov.bd.pk-mail.org
  • p2@mofa.gov.bd.pk-mail.org
  • pc2@mod.gov.bd.pk-mail.org
  • secretary@mocat.gov.bd.pk-mail.org

SHA256

  • 06da4a5755a81785f68caf75cca2b7a41c3aa9b4af24d2bb93964abf87343869
  • 09b96a2426f8ddcc20aa58a72ad147d410525f1a4a42835b7ece126211537b3b
  • 09cfec5b9cc3ef5939287fdb8b1bcb9a8a7185e45ef587a96f35744c02c0f03c
  • 0f407b9b1cffa88edfe5a439f316dd41eea2fc47ba24a8dd986a6ffe520cb66b
  • 2d988506cf300236b57744d16adea07525d7b709a0fbf181810143d89aa55017
  • 2ff1eb3d23b32169d5f07b5c4df6ec9a20b543255a3af4c92de2c322455746a9
  • 31c7381c90b852b4cb858a4fb0a548f7c38ea134eb49a679a83ae2de9f8d98e2
  • 32febd24765e996c8f01f77f02b02af3e35914ea215f98fcf2054a15a5bb0262
  • 341a21538b90c87b40e150967519a695f2c339befde232e2f3cd85caf6885803
  • 36f7db22dbd834d0bbffbd1c7647101604054a2d1595ea0baf106a4da7d5fefb
  • 39eba7eeadab00b4552cc42550dd285f7b3c5fbf451634ce0f6458d61d0b1aed
  • 3ffc09dda86b9c78028f20d5447616c4e60f7c70e2f3cabcc05c77ee8a92f7ce
  • 4d394319bf9952217aab6d5fc5603abeb3a6e06f6026ff80ec5fa5d02b08cd66
  • 4e984a01dee63ca0a7fb1efa42a483d2e378e8f87896c76788f11abe8ddeec3c
  • 52602351cf896d44156016e44e2342d4eb75140b7415eaab3f629636d315fb1a
  • 54ef2aaeeb850c07cf3e01754478da2b8947b7188e1aabc8dd7eb54c78b55bd1
  • 56220142f616d5fffacad4e83b3262e0499e96dcdf99fbb6b81cd9178ef97ced
  • 5f8cdb9a5000a4d4ab08255efb3bd0c074551df94ebff820510078b45ad0b9f1
  • 6226704e0cbe5b17c50bfbdb79912028137abf1f0f918fd455d9a71ed4478fcf
  • 632d1e049e74e3cc34f01fa7d4b4e18e8679636eb58e38756b8ed0314a861a02
  • 635e8abd8ce13a985229e5a0269096a272beef15307333f63cbc95cd13a71e88
  • 65125a51edf9e2ab776bc041b77267dc04045bf4f6df03138494966cee9f5a54
  • 65bc2a15dd4201ddcec44cd02cfeea16c7734a0bd009c977ca5a3c6738c57ae6
  • 71409564792f503c4ec6c5000d98ac4a97a153d4c16cc6f6528c136271bc8ed8
  • 7d51aba5a9bbad297c05a0a3b99aa32af354b45ad2e99191fe0e611c9f44dfa4
  • 8183a28cc1d962c173d5a63d1b61acafd995e6f0c4f595d6f0e43988b88c480b
  • 81dda6e8d6835980aaa3fa26b1ee4a8d7931fea7c33caf5f639a1057ad39add1
  • 8435f374161bcf63175e34fc331957c2661d2e83bbd55675b3a103a5cc2ed7c5
  • 84ddd27b18b7401fd46149c60b0fff4ea0f01ba8668649dc246769784bc7a00d
  • 892089dc7e4af5ee4a89a2fd3083e6843ce7bffc94003d233063ba23d779a314
  • 8d85e13eb217dde0b1c770743b1e9d033ff3c6d26186d70ffb0e9246ffc2dc6f
  • 922bb79cbb76f2b51d5709500d87a55142a38368b4289fb5b45c1318c6a31cf6
  • a28135ad1294328cbf0b200f7fa4ad7a0691bd80fb87e88b348c396fa652aa10
  • a8b4fcfed3dc3b25e5b9ad34c9f6909f4cc4bedb4606416a672d1a39976e1c5d
  • aa7c242c325528bbb6184a603b4b0ae2b67711b774e2400f1fe086e0d5eb66bc
  • aaf08583c38289e617cfaae8bd42aa4ce48a0d7c9e401e9cb4cbfa6fb65e4935
  • b06aa054491e7b07f54edced19ff648322427b8f5cfa6b46656667c9b40b7215
  • b97c5ed08e5072bf7fdf44864c942657dfcaa8c3f4627698e0b87f773d04cd15
  • be4916940676befe86749c8a9b156346fa80ce6c0a341ab59dfd49344ef8162b
  • c1093860c1e5e04412d8509ce90568713fc56a0d5993bfdb7386d8dc5e2487b6
  • c5c07c258ceb91ccba50428dc81c87f5eb0bb13dd6abde82811baa56d1be60fc
  • c67ee29964506676bde38e7732e720078abdb0adebc743a367a5d9a1215f5020
  • ce72830bc037680d9ef50d328f3776d2bddf5aaffd077d2d884efafa3e30ee70
  • cf739fe6621968e2fd7d1ce4a7c513bf4b994a66f33bbc9b53b26672046aa77e
  • d2c8d33ea2d855bc9cd52d3a4d312c81f848c4f5afb9414ee90b036f3f27a4a4
  • d4c746c27873a016c7d3d6d00400c60824afd1cd69840a76873096cbadb23a48
  • dd30478a1f2e822d3e9be536ca249e1c677ccaf1106fb9a9f41003e2bb609d09
  • e091d16488b1b638a2c0013e761d341a04728de4de4388827e62f8c039f77fbc
  • e4d494948ce5c81e600ca36d3c35007f371cceef7e2c16addf2668bed1533efb
  • e5cd4c5e6c35c07b7d1a078ed801a5676d529d41dcbecacd13f744b2c79fe46d
  • f022b5b6ef036bed3c4e4fef2dc8a703cd51146cf449c0be48fa963a62eba752
  • f4f851ed2a972e2c90ea20a1d8a2421111264022700caab82e42b89e80bc321a
  • f6e54fd80aa4f8b779f2fb85466c7e6d4f9c2dbd0a79d0d8e9d1f275654e51c5
Комментарии: 0
Похожие записи
1
27.05.2025
Индикаторы компрометации

Группа SideWinder атакует Пакистан: новые данные об угрозе

security
Группа SideWinder, также известная как Rattlesnake, продолжает целенаправленные атаки на Пакистан, используя сложные методы кибершпионажа. Связанная с Индией APT-группа, активная с 2012 года, специализируется
0
04.08.2023
Индикаторы компрометации

Lokibot Stealer IOCs - Part 8

Stealer
LokiBot - это инфопохититель, впервые появившийся в 2016 году и сохраняющий свою активность по сей день. Он предназначен для кражи учетных данных из различных приложений, таких как браузеры, FTP-клиенты и другие.
0
19.08.2025
Индикаторы компрометации

Эксперты раскрыли детали сложной цепочки заражения HijackLoader через пиратские сайты

information security
Новое исследование развенчивает миф о безопасности adblock-расширений при скачивании пиратского ПО, демонстрируя работу модульного загрузчика HijackLoader. Угроза распространяется через доверенные ресурсы