Cybersicherheitsexperten von Kaspersky haben eine dramatische Ausweitung der Aktivitäten der Advanced Persistent Threat (APT) Gruppe SideWinder aufgedeckt. Die auch als T-APT-04 und RattleSnake bekannte Gruppierung hat ihre Angriffsziele im Jahr 2024 signifikant erweitert und fokussiert sich nun verstärkt auf kritische Infrastrukturen im Bereich der Kernenergie in Südasien.
Strategische Neuausrichtung der Angriffsziele
Die seit 2012 aktive Hackergruppe SideWinder war ursprünglich auf Cyberangriffe gegen Regierungs-, Militär- und diplomatische Einrichtungen spezialisiert. Im aktuellen Jahr wurde eine strategische Verlagerung beobachtet: Neben dem Nuklearsektor geraten nun auch maritime Infrastruktur und Logistikunternehmen in den Fokus der Angreifer. Diese Entwicklung deutet auf eine systematische Ausweitung der Operationen hin.
Globale Expansion der Cyberoperationen
Die geografische Reichweite der Angriffe hat sich erheblich vergrößert und umfasst mittlerweile 15 Nationen auf drei Kontinenten. Zu den neu hinzugekommenen Zielländern gehören Dschibuti, Ägypten, Mosambik, Österreich, Bulgarien, Kambodscha, Indonesien, die Philippinen und Vietnam. Auch diplomatische Vertretungen in Afghanistan, Algerien, Ruanda, Saudi-Arabien, der Türkei und Uganda wurden attackiert.
Technische Analyse der Angriffsmethoden
Die Gruppe setzt primär auf hochentwickelte Phishing-Kampagnen mit manipulierten DOCX-Dokumenten. Durch die Ausnutzung der Schwachstelle CVE-2017-11882 in Microsoft Office und Remote Template Injection werden RTF-Dateien eingeschleust. Nach erfolgreicher Kompromittierung wird ein Backdoor Loader installiert, der die gruppeneigene Malware StealerBot nachlädt.
Adaptive Malware-Entwicklung
Die Angreifer demonstrieren eine beeindruckende Agilität in der Malware-Entwicklung mit Updatezyklen von weniger als fünf Stunden. Diese schnelle Anpassungsfähigkeit stellt traditionelle Erkennungsmechanismen vor erhebliche Herausforderungen und unterstreicht die Notwendigkeit moderner, KI-gestützter Sicherheitslösungen.
Die aktuelle Bedrohungslage durch SideWinder markiert einen Wendepunkt in der Evolution von APT-Angriffen. Organisationen müssen ihre Cybersicherheitsstrategien neu bewerten und robuste Verteidigungsmechanismen implementieren. Besonders kritische Infrastrukturbetreiber sollten ihre Sicherheitsmaßnahmen verstärken, Mitarbeiter gezielt schulen und Incident-Response-Pläne regelmäßig aktualisieren. Nur durch proaktives Handeln und kontinuierliche Wachsamkeit lässt sich dieser hochentwickelten Bedrohung effektiv begegnen.
