Експерти з кібербезпеки виявили масштабну кампанію цільових атак, що проводиться відомою APT-групою SideWinder (також відома як T-APT-04 та RattleSnake). У 2024 році хакерське угруповання суттєво розширило сферу своєї діяльності, зосередивши увагу на критичній інфраструктурі атомної енергетики в регіоні Південної Азії.
Трансформація цільового профілю кіберзлочинців
Група SideWinder, яка веде активну діяльність з 2012 року, традиційно фокусувалася на урядових, військових та дипломатичних установах. Однак аналіз останніх інцидентів демонструє значне розширення спектру цілей – окрім ядерного сектору, зловмисники активно атакують об’єкти морської інфраструктури та логістичні компанії. Така диверсифікація цілей свідчить про зростання технічного потенціалу та ресурсної бази угруповання.
Безпрецедентне розширення географії атак
Дослідники зафіксували суттєве збільшення географічного охоплення кібератак – діяльність групи поширилася на 15 країн трьох континентів. Серед нових цілей опинилися організації в країнах Африки (Джибуті, Єгипет, Мозамбік), Європи (Австрія, Болгарія) та Азії (Камбоджа, Індонезія, Філіппіни, В’єтнам). Також під удар потрапили дипломатичні установи в Афганістані, Алжирі, Руанді, Саудівській Аравії, Туреччині та Уганді.
Технічний арсенал та методи проникнення
Основним вектором атак залишаються цільові фішингові кампанії з використанням шкідливих DOCX-документів. Зловмисники застосовують техніку віддаленої інєкції шаблонів для завантаження RTF-файлів, експлуатуючи вразливість CVE-2017-11882 у Microsoft Office. Успішна атака призводить до встановлення Backdoor Loader, який завантажує спеціалізований інструментарій групи – StealerBot.
Висока адаптивність та швидкість модифікації
Особливу увагу фахівців привернула здатність групи швидко модифікувати свої інструменти. Зафіксовані випадки створення нових версій шкідливого програмного забезпечення протягом п’яти годин, що суттєво ускладнює їх виявлення сучасними засобами захисту. Така швидкість адаптації вказує на високий рівень технічної підготовки та організації групи.
Поточна активність SideWinder демонструє якісно новий рівень кіберзагроз для критичної інфраструктури. Організаціям рекомендується посилити моніторинг мережевої активності, регулярно оновлювати системи безпеки та проводити навчання персоналу з питань кібергігієни. Особливу увагу слід приділити захисту від фішингових атак та впровадженню багаторівневої системи безпеки.
