محققان کسپرسکی امواج جدیدی از حملات SideWinder (T-APT-04 یا RattleSnake) را مشاهده کردهاند که گسترش چشمگیری در فعالیتهای گروه را نشان میدهد.
این گروه یکی از پرکارترین گروههای APT بوده و فعالیت خود را در سال 2012 آغاز کرده است. همچنین حملات قابل توجهی را در طول سالها علیه نهادهای برجسته در جنوب و جنوب شرق آسیا انجام داده که اهداف اولیه آن نهادهای نظامی و دولتی در پاکستان، سریلانکا، چین و نپال بوده است. حملات اخیر نیز بر نهادهای برجسته و زیرساختهای استراتژیک خاورمیانه و آفریقا تأثیرگذار بودند.
کسپرسکی ابزار اصلی پس از اکسپلویت به نام «StealerBot» را کشف کردند، یک ایمپلنت ماژولار پیشرفته که به طور خاص برای فعالیتهای جاسوسی طراحی شده است و توسط SideWinder برای اهداف مورد نظر استفاده میشود. زنجیره حمله معمولاً با یک ایمیل فیشینگ با یک پیوست آغاز میشود، معمولاً یک سند OOXML مایکروسافت (DOCX یا XLSX) یا یک آرشیو ZIP که حاوی فایل LNK مخرب است. سند یا فایل LNK یک زنجیره آلودگی چند مرحلهای را با دانلودرهای مختلف جاوا اسکریپت و NET. شروع میکند که با نصب ابزار جاسوسی StealerBot خاتمه مییابد.
https://securelist.com/sidewinder-apt/114089/