تکامل و گسترش گروه SideWinder APT

security news

محققان کسپرسکی امواج جدیدی از حملات SideWinder (T-APT-04 یا RattleSnake) را مشاهده کرده‌اند که گسترش چشمگیری در فعالیت‌های گروه را نشان می‌دهد.

 این گروه یکی از پرکارترین گروه‌های APT بوده و فعالیت خود را در سال 2012 آغاز کرده است. همچنین حملات قابل توجهی را در طول سال‌ها علیه نهادهای برجسته در جنوب و جنوب شرق آسیا انجام داده که اهداف اولیه آن نهادهای نظامی و دولتی در پاکستان، سریلانکا، چین و نپال بوده است. حملات اخیر نیز بر نهادهای برجسته و زیرساخت‌های استراتژیک خاورمیانه و آفریقا تأثیرگذار بودند.

کسپرسکی ابزار اصلی پس از اکسپلویت به نام «StealerBot» را کشف کردند، یک ایمپلنت ماژولار پیشرفته که به طور خاص برای فعالیت‌های جاسوسی طراحی شده است و توسط SideWinder برای اهداف مورد نظر استفاده می‌شود. زنجیره حمله معمولاً با یک ایمیل فیشینگ با یک پیوست آغاز می‌شود، معمولاً یک سند OOXML مایکروسافت (DOCX یا XLSX) یا یک آرشیو ZIP که حاوی فایل LNK مخرب است. سند یا فایل LNK یک زنجیره آلودگی چند مرحله‌ای را با دانلودرهای مختلف جاوا اسکریپت و NET. شروع می‌کند که با نصب ابزار جاسوسی StealerBot خاتمه می‌یابد.

https://securelist.com/sidewinder-apt/114089/