Експерти з кібербезпеки “Лабораторії Касперського” виявили нову загрозу від відомого хакерського угруповання SideWinder. Ця група, також відома як T-APT-04 та RattleSnake, розширила свою діяльність на Близький Схід та Африку, використовуючи новий інструмент для кібершпигунства під назвою StealerBot.
Історія та цілі SideWinder
SideWinder вперше потрапила в поле зору фахівців з інформаційної безпеки ще у 2012 році. З того часу група залишається однією з найактивніших APT-угруповань (Advanced Persistent Threat). Традиційно їхніми цілями були військові та державні установи в країнах Південної та Південно-Східної Азії, зокрема в Пакистані, Шрі-Ланці, Китаї та Непалі.
Методи атак та інструменти SideWinder
Для проведення атак SideWinder зазвичай використовує шкідливі документи, які експлуатують вразливості в Microsoft Office. Іноді застосовуються файли LNK, HTML та HTA, що розповсюджуються в архівах. Щоб надати легітимності цим файлам, хакери часто включають в них інформацію з популярних веб-сайтів.
У своєму арсеналі група має кілька сімейств шкідливого програмного забезпечення, включаючи як спеціально розроблені інструменти, так і модифіковані версії загальнодоступних RAT-троянів.
StealerBot: новий інструмент для кібершпигунства
Останнім часом SideWinder почала використовувати новий інструмент під назвою StealerBot. Це модульний імплант, спеціально розроблений для шпигунства, який став основним засобом пост-експлуатації в арсеналі групи.
Можливості StealerBot
StealerBot має широкий спектр функцій:
- Встановлення додаткового шкідливого ПЗ
- Створення знімків екрану
- Перехоплення натискань клавіш
- Викрадення паролів з браузерів
- Перехоплення облікових даних RDP
- Крадіжка файлів
Особливості архітектури StealerBot
Дмитрій Галов, керівник Kaspersky GReAT (Глобального центру досліджень та аналізу загроз “Лабораторії Касперського”) в Росії, пояснює: “StealerBot працює за модульною структурою, де кожен компонент виконує певну функцію. Ці модулі ніколи не відображаються у вигляді файлів на жорсткому диску, що ускладнює їх відстеження: вони завантажуються безпосередньо в пам’ять. В основі StealerBot лежить так званий “оркестратор”, який контролює весь процес, взаємодіє з сервером зловмисників та координує роботу різних модулів”.
Така архітектура робить StealerBot надзвичайно небезпечним інструментом, оскільки він дозволяє здійснювати непомітне стеження за системами, уникаючи виявлення традиційними засобами захисту. Це підкреслює важливість комплексного підходу до кібербезпеки, який включає не лише антивірусний захист, але й постійний моніторинг мережевої активності та аналіз поведінки системи.
Виявлення StealerBot та розширення географії атак SideWinder свідчить про зростаючу загрозу кібершпигунства для організацій по всьому світу. Це вимагає від компаній та державних установ підвищеної пильності та впровадження передових методів захисту інформаційних систем. Регулярне оновлення програмного забезпечення, навчання співробітників з питань кібербезпеки та використання багаторівневих систем захисту стають критично важливими для протидії таким витонченим загрозам.
