Команда BlackBerry з дослідження загроз та розвідки виявила нову кампанію кібершпигунства, яку проводить зловмисник SideWinder. Як повідомляється, ця операція націлена на порти та морські об’єкти, розташовані як в Індійському океані, так і в Середземному морі. Вважається, що метою цієї кампанії є шпигунство та збір розвідувальних даних.
Аналітики компанії відзначають, що SideWinder модернізувала свою інфраструктуру, використовуючи нові методи та тактики з моменту останнього звіту про угруповання в середині 2013 року. Спосіб дій угруповання полягає у надсиланні фішингових електронних листів, що містять шкідливі документи, призначені для заманювання жертв. Ці документи часто імітують офіційні повідомлення від відомих організацій, щоб змусити жертв відкрити їх.
Дослідження виявило, що у фішингових листах, пов’язаних з діяльністю SideWinder, використовуються дуже специфічні логотипи та теми. «Ми спостерігали фальсифіковані візуальні документи-приманки, які стверджували, що вони пов’язані з дуже специфічною портовою інфраструктурою, в тому числі з портом Александрії в Середземному морі», – зазначає команда дослідників. Вони також виявили документи, замасковані під повідомлення від портової адміністрації Червоного моря.
Докази свідчать про те, що кампанія SideWinder націлена на кілька регіонів. Домени та документи, пов’язані з початковим етапом, вказують на те, що кампанія зосереджена на Пакистані, Єгипті та Шрі-Ланці. Крім того, субдомени, пов’язані з другим етапом, вказують на додаткові цілі, включаючи Бангладеш, М’янму, Непал і Мальдіви.
Угруповання використовує різні методи, щоб обійти виявлення, включаючи використання фішингових поштових атак, використання документів та методів бічного завантаження бібліотечних файлів (DLL). Атака зазвичай починається з того, що жертва завантажує шкідливий документ, який має мінімальні показники виявлення на VirusTotal, а потім відкриває його, щоб ініціювати наступний етап атаки. Шкідливі файли часто використовують технології віддаленого впровадження шаблонів, експлуатуючи відомі вразливості, такі як CVE-2017-0199 в Microsoft Office.
Нещодавно виявлена інфраструктура командно-контрольної системи другого етапу SideWinder використовує старий вузол Tor, що натякає на складні заходи для заплутування мережевого аналізу. Було виявлено кілька доменів, які відображають структури імен, що використовуються SideWinder, що свідчить про послідовність у їхніх зловмисних кампаніях.
Аналіз також виявив використання дуже емоційних візуальних приманок для відволікання одержувачів. Наприклад, документи містили тривожні фрази на кшталт «звільнення працівника» та «скорочення зарплати», покликані спровокувати тривогу та спонукати жертв до негайних дій.
«Зловмисники сподіваються, що, викликавши сильні емоції, такі як страх або тривога, жертва буде змушена негайно відкрити та прочитати документ», – пояснили в BlackBerry. Така тактика підвищує ймовірність того, що шкідливе програмне забезпечення буде виконано так, що жертва не помітить незвичної активності у своїй системі.
Технічне розслідування показало, що шкідливі файли, які доставляє SideWinder, часто містять документи у форматі RTF (Rich Text Format), що використовують уразливості для виконання командного коду. Цей командний код перевіряє системні характеристики жертви, щоб переконатися, що вона не запускається у віртуальному середовищі, перш ніж перейти до виконання наступних етапів шкідливого програмного забезпечення.
У звіті також детально описано доменну та IP-інфраструктуру, яка використовується для цих атак. Було виявлено, що до інструментарію SideWinder входять різні домени, в тому числі ті, що підміняють офіційні військово-морські та урядові вебсайти.
Команда BlackBerry з дослідження загроз і розвідки постійно відстежує діяльність SideWinder і пропонує організаціям кілька контрзаходів. Вони включають в себе оновлення систем найновішими патчами безпеки, проведення тренінгів для підвищення обізнаності про фішинг, впровадження передових рішень для фільтрації електронної пошти та розгортання передових інструментів для виявлення та реагування на загрози.
Читайте також: