APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает правительственные организации, логистические компании и морскую инфраструктуру в различных странах Азии, на Ближнем Востоке и в Африке. В 2024 году SideWinder особенно проявила интерес к морской инфраструктуре и атомной энергетике в Южной Азии и Африке.
SideWinder APT
SideWinder стремится постоянно усовершенствовать свои инструменты и опережать системы безопасности. Они быстро реагируют на обнаружение своих инструментов, создавая новые модификации вредоносного ПО. Группа использует фишинговые письма со вредоносными вложениями, в которых используется техника удаленной инъекции шаблона, запуская вредоносный шелл-код. Затем происходит многоуровневый процесс заражения, приводящий к установке вредоносного ПО "Backdoor Loader" и "StealerBot".
Конкретные документы, использованные SideWinder, затрагивали вопросы атомной энергетики, морской инфраструктуры и дипломатических вопросов. Они также использовали документы с общими темами, чтобы обмануть цели. Например, обнаружены документы об аренде автомобиля и покупке гаража. При защите от обнаружения SideWinder меняет имена и пути к вредоносным файлам.
Для распространения вредоносного ПО, SideWinder использует фишинговые письма с вредоносным вложением в формате DOCX. После открытия документа, встроенный JavaScript запускает Windows-утилиту mshta.exe, которая получает дополнительный код с удаленного сервера.
В целом, группа SideWinder продолжает активно атаковать морской и ядерный секторы, используя разнообразные методы и инструменты. Обнаружение и защита от их атак представляют сложность, так как они постоянно совершенствуют свои техники и быстро реагируют на обнаружение своего вредоносного ПО.
Indicators of Compromise
Domains
- aliyum.email
- crontec.site
- d0cumentview.info
- d0wnlaod.com
- d0wnlaod.org
- debcon.live
- defencearmy.pro
- depo-govpk.com
- dirctt88.info
- dirctt888.com
- dirctt888.info
- directt88.com
- documentviewer.info
- document-viewer.info
- document-viewer.live
- dowmload.co
- dowmloade.org
- downl0ad.org
- file-dwnld.org
- mevron.tech
- mod-kh.info
- modpak.info
- modpak-info.services
- mods.email
- ms-office.app
- ms-office.pro
- mteron.info
- pmd-offc.info
- pmd-office.info
- pncert.info
- portdedjibouti.live
- session-out.com
- veorey.live
- zeltech.live
- ziptec.info
MD5
- 0216ffc6fb679bdf4ea6ee7051213c1e
- 313f9bbe6dac3edc09fe9ac081950673
- 3d9961991e7ae6ad2bae09c475a1bce8
- 433480f7d8642076a8b3793948da5efe
- 872c2ddf6467b1220ee83dca0e118214
- a694ccdb82b061c26c35f612d68ed1c2
- bd8043127abe3f5cfa61bd2174f54c60
- d36a67468d01c4cb789cd6794fb8bc70
- e0bce049c71bc81afe172cd30be4d2b7
- e9726519487ba9e4e5589a8a5ec2f933
- f42ba43f7328cbc9ce85b2482809ff1c