卡巴斯基在 2024 年观察到,南亚和东南亚、中东和非洲的海事和物流公司成为了被称作 SideWinder 的高级持续性威胁(APT)组织的攻击目标。
这些攻击活动遍布孟加拉国、柬埔寨、吉布提、埃及、阿拉伯联合酋长国和越南。其他攻击目标还包括南亚和非洲的核电站和核能基础设施,以及电信、咨询、IT 服务公司、房地产代理和酒店。
在看似更广泛地扩展其受害者范围的情况下,SideWinder 还针对了阿富汗、阿尔及利亚、保加利亚、中国、印度、马尔代夫、卢旺达、沙特阿拉伯、土耳其和乌干达的外交实体。针对印度的攻击尤为显著,因为之前曾怀疑该威胁行为者来自印度。
“值得注意的是,SideWinder 不断努力改进其工具集,以领先于安全软件的检测,延长在受感染网络中的持续存在,并隐藏在受感染系统中的痕迹,”研究人员 Giampaolo Dedola 和 Vasily Berdnikov 说,他们将其描述为“一个高度先进且危险的对手”。
SideWinder 之前在 2024 年 10 月曾是俄罗斯网络安全公司进行广泛分析的主题,记录了该威胁行为者使用名为 StealerBot 的模块化后利用工具包,从受感染的主机中捕获广泛敏感信息的情况。2024 年 7 月,BlackBerry 也强调了该黑客组织针对海事部门的攻击。
最新的攻击链与之前报告的情况相符,鱼叉式网络钓鱼电子邮件作为渠道,投放利用微软 Office 公式编辑器(CVE-2017-11882)中已知安全漏洞的陷阱文档,以激活多阶段序列,进而使用名为 ModuleInstaller 的 .NET 下载器,最终启动 StealerBot。
卡巴斯基表示,一些诱饵文档与核电站和核能机构有关,而其他文档则包含提及海事基础设施和各个港口当局的内容。
“他们不断监测其工具集被安全解决方案检测到的情况,”卡巴斯基说,“一旦他们的工具被识别,他们会在不到五小时的时间内生成新的恶意软件版本。”
“如果出现行为检测,SideWinder 会尝试更改用于维持持续性和加载组件的技术。此外,他们还会更改恶意文件的名称和路径。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容