Специалисты по кибербезопасности из «Лаборатории Касперского» выявили новую волну сложных целевых атак, проводимых APT-группировкой SideWinder (также известной как T-APT-04 и RattleSnake). В 2024 году злоумышленники существенно расширили спектр своей деятельности, сфокусировавшись на объектах атомной энергетики в Южной Азии, включая атомные электростанции и профильные государственные агентства.
Эволюция целевого ландшафта
Впервые обнаруженная в 2012 году, группировка SideWinder традиционно специализировалась на атаках правительственных, военных и дипломатических учреждений. Однако в текущем году произошло значительное расширение целевого профиля: помимо ядерного сектора, злоумышленники начали проявлять интерес к морской инфраструктуре и логистическим компаниям.
Географическая экспансия кибератак
Исследователи зафиксировали беспрецедентное расширение географии атак — деятельность группировки охватила 15 стран на трех континентах. Среди новых целей оказались организации в Джибути, Египте, Мозамбике, Австрии, Болгарии, Камбодже, Индонезии, на Филиппинах и во Вьетнаме. Также атакам подверглись дипломатические учреждения в Афганистане, Алжире, Руанде, Саудовской Аравии, Турции и Уганде.
Технические особенности атак
Основным вектором проникновения остаются фишинговые рассылки с вредоносными DOCX-документами. Злоумышленники используют технику инъекции удаленного шаблона для загрузки RTF-файлов, эксплуатируя уязвимость CVE-2017-11882 в Microsoft Office. В результате успешной атаки устанавливается Backdoor Loader, который загружает эксклюзивный инструментарий группировки — StealerBot.
Адаптивность и скорость реагирования
Особое внимание специалистов привлекла способность группировки быстро модифицировать свои инструменты. Хакеры способны создавать новые версии вредоносного ПО менее чем за пять часов, что существенно затрудняет их обнаружение современными средствами защиты.
Текущая активность SideWinder демонстрирует качественно новый уровень киберугроз, где противостояние между атакующими и защитниками происходит практически в режиме реального времени. Это требует от организаций постоянной бдительности и регулярного обновления систем безопасности для защиты от подобных продвинутых целевых атак.