Новости

Новые кибератаки SideWinder нацелены на морские объекты во многих странах

Субъект угрозы, известный как SideWinder, недавно начал новую кампанию кибершпионажа, направленную на порты и морские объекты в Индийском океане и Средиземном море. Эта активность была обнаружена исследовательской и разведывательной группой BlackBerry. Целями фишинг-кампании стали такие страны, как Пакистан, Египет, Шри-Ланка, Бангладеш, Мьянма, Непал и Мальдивы.
SideWinder, также известный под названиями APT-C-17, Baby Elephant, Hardcore Nationalist, Leafperforator, Rattlesnake и Razor Tiger, предположительно связан с Индией и действует с 2012 года. Он часто использует фишинг-рассылку для доставки вредоносных полезных данных, которые запускают цепочки атак.
Согласно анализу канадской компании по кибербезопасности, SideWinder использует фишинг электронной почты, использование документов и стороннюю загрузку DLL в попытке избежать обнаружения и поставить целевые имплантаты. В последней серии атак используются приманки, связанные с сексуальными домогательствами, увольнением сотрудников и сокращением заработной платы, чтобы негативно повлиять на эмоциональное состояние получателей и обманом заставить их открыть заминированные документы Microsoft Word.
После открытия файла-приманки он использует известную брешь в системе безопасности CVE-2017-0199 для установления контакта с вредоносным доменом, который маскируется под Генеральное управление портов и судоходства Пакистана ("reports.dgps-govtpk.com"), чтобы извлечь RTF-файл. Документ RTF, в свою очередь, загружает документ, который использует CVE-2017-11882, еще одну многолетнюю уязвимость в редакторе Microsoft Office Equation Editor, с целью выполнения шелл-кода, отвечающего за запуск кода JavaScript, но только после гарантии того, что скомпрометированная система является легитимной и представляет интерес для субъекта угрозы.
В настоящее время неизвестно, что передается с помощью вредоносного ПО JavaScript, хотя конечной целью, вероятно, является сбор разведданных на основе предыдущих кампаний, организованных SideWinder.
BlackBerry заявила, что исполнитель угроз SideWinder продолжает совершенствовать свою инфраструктуру для нацеливания на жертв в новых регионах. "Неуклонное развитие сетевой инфраструктуры и полезной нагрузки SideWinder предполагает, что она продолжит свои атаки в обозримом будущем", - отметили в BlackBerry.
Это раскрытие произошло на фоне того, что предполагаемый субъект угрозы, связанный с Россией, нацелился на организации, заинтересованные в политических делах Индии, с помощью троянца удаленного доступа на базе Go (RAT), который доставлялся через загрузчик .NET, запускаемый из файлов быстрого доступа Windows (LNK), замаскированных под документы Office. Эта операция получила кодовое название Operation ShadowCat.
Кибератаки