Специалисты из “Лаборатории Касперского” рассказали о новой волне целевых кибератак, проводимых группировкой SideWinder. Согласно данным компании, злоумышленники используют новый инструмент для шпионажа – StealerBot, ориентируясь на крупные организации и стратегическую инфраструктуру в регионах Ближнего Востока и Африки.
Кибергруппа SideWinder, также известная как T-APT-04 или RattleSnake, была впервые замечена специалистами по кибербезопасности в 2012 году и с тех пор остаётся одной из самых активных в мире. В 2018 году “Лаборатория Касперского” сообщила о её деятельности. Основными целями атак этой группы были военные и государственные учреждения в Пакистане, Шри-Ланке, Китае и Непале, а также компании и организации из других стран Южной и Юго-Восточной Азии.
Для своих атак SideWinder использовала вредоносные документы, которые эксплуатировали уязвимости в программах Microsoft Office. В некоторых случаях применялись и другие форматы файлов, такие как LNK, HTML и HTA, которые злоумышленники распространяли в виде архивов. Чтобы убедить жертв открыть вредоносный файл, в таких документах часто содержалась информация с популярных веб-сайтов, что придавало им видимость легитимности. В ходе своих кибератак группа использовала несколько семейств вредоносного ПО: среди них были как специально разработанные, так и модифицированные версии готовых программ, общедоступные RAT-троянцы.
Что изменилось. SideWinder расширила географию своих атак, начав нацеливаться на организации на Ближнем Востоке и в Африке. Кроме того, группа внедрила новый инструмент для шпионажа – StealerBot. Этот продвинутый имплант был специально разработан для проведения шпионских операций. Сейчас StealerBot является основным инструментом группы после взлома уязвимостей.
StealerBot способен выполнять множество задач, например устанавливать дополнительное вредоносное ПО, делать скриншоты, регистрировать последовательность нажатия клавиш, красть пароли из браузеров, перехватывать учётные данные RDP (Remote Desktop Protocol), извлекать файлы.
Как отметили в компании, StealerBot позволяет злоумышленникам вести слежку за системами, при этом его обнаружение крайне затруднено. Программа построена по модульной структуре, где каждый компонент отвечает за выполнение конкретной задачи. Эти модули не сохраняются в виде файлов на жёстком диске, что делает их отслеживание ещё более сложным: все элементы загружаются напрямую в оперативную память. Ключевую роль в работе StealerBot выполняет так называемый “Оркестратор” – центральный компонент, который управляет всей операцией, взаимодействует с командным сервером злоумышленников и координирует действия всех модулей программы.