Исследовательская группа BlackBerry обнаружилановую кампанию известной хакерской группы SideWinder, которая теперь использует обновлённую инфраструктуру и методы для компрометации жертв. В результате анализа данных стало ясно, что новая вредоносная операция нацелена на порты и морские объекты в Индийском океане и Средиземном море.
Хакеры используют фишинговые письма с логотипами и темами, специфичными для портов в Пакистане, Египте и Шри-Ланке, а также поддомены, указывающие на дополнительные цели в Бангладеш, Мьянме, Непале и на Мальдивах. Целью этих атак является шпионаж и сбор разведданных.
Группа SideWinder, известная также как Razor Tiger, Rattlesnake и T-APT-04, ведёт свою деятельность с 2012 года и, как полагают исследователи, имеет прямое отношение к Индии. Группа ранее атаковала военные, правительственные и бизнес-структуры, сосредоточившись на Пакистане, Афганистане, Китае и Непале.
Для своих атак SideWinder использует методы целевого фишинга, эксплуатацию офисных документов и DLL Sideloading. В ходе кампании выяснилось, что начинается всё, как правило, с того, что жертва скачивает и открывает заражённый документ, имеющий низкий уровень обнаружения на VirusTotal, что запускает следующую фазу атаки.
Документы-фальшивки, используемые в этих атаках, выглядят как легитимные документы от официальных организаций. В одной из атак использовались документы, имитирующие документы портовой инфраструктуры, включая Порт Александрии в Средиземном море и Портовое управление Красного моря.
Цель этих документов – вызвать у жертвы сильные эмоции, такие как страх или тревогу, чтобы побудить её немедленно открыть файл. Например, фальшивые письма содержали такие фразы, как “увольнение сотрудников” и “снижение зарплаты”, что отвлекало жертву от любых подозрений.
Технический анализ показал, что SideWinder использует уязвимость CVE-2017-0199в Microsoft Office для начальной компрометации системы. Вредоносные документы содержат URL-адреса, ведущие на сайты, контролируемые хакерами, где и загружаются дополнительные вредоносные файлы.
Следующим этапом атаки является загрузка RTF-файла, который эксплуатирует уязвимость CVE-2017-11882,включая шелл-код для проверки системы жертвы. Если система подходит, программа расшифровывает и запускает JavaScript-код, загружая следующую стадию атаки с удалённого сервера.
В сети SideWinder были выявлены домены и IP-адреса, используемые для командно-контрольной инфраструктуры, включая старый узел Tor для маскировки анализа трафика.
Исследователи продолжают отслеживать деятельность группы и публиковать индикаторы компрометации (IoC) для защиты организаций от атак SideWinder. Для предотвращения подобных атак рекомендуется своевременно обновлять системы безопасности, проводить обучение сотрудников по выявлению фишинговых атак и внедрять передовые решения для фильтрации электронной почты и обнаружения угроз.