Sri Lanka, Bangladeş ve Pakistan’daki üst düzey hükümet kurumları, SideWinder olarak bilinen bir tehdit oyuncusu tarafından düzenlenen yeni bir kampanyanın hedefi olarak ortaya çıktı.
Acronis araştırmacıları Santiago Pontiroli, Jozsef Gegeny ve Prakas TheVendaran, bilgisayar korsanı haberleriyle paylaşılan bir raporda, “Saldırganlar, yalnızca belirli ülkelerdeki kurbanların kötü niyetli içerik almasını sağlamak için coğrafi yüklerle eşleştirilmiş e -postalar kullandı.” Dedi.
Saldırı zincirleri, enfeksiyon sürecini etkinleştirmek ve Stealerbot olarak adlandırılan bilinen bir kötü amaçlı yazılımın kullanılması için bir başlangıç noktası olarak mızrak aktı yemlerinden yararlanır. Modus operandi’nin Mart 2025’te Kaspersky tarafından belgelenen son yan sokak saldırılarıyla tutarlı olduğunu belirtmek gerekir.
Kampanyanın bazı hedefleri, Acronis’e göre Bangladeş’in telekomünikasyon düzenleme komisyonu, Savunma Bakanlığı ve Maliye Bakanlığı; Pakistan Yerli Teknik Gelişim Müdürlüğü; ve Sri Lanka’nın Dış Kaynaklar Departmanı, Hazine Operasyonları Bölümü, Savunma Bakanlığı ve Merkez Bankası.
Saldırılar, Microsoft Office’te (CVE-2017-0199 ve CVE-2017-11882), Güney Asya’daki hükümet ortamlarında kalıcı erişimi sürdürebilecek kötü amaçlı yazılımlar dağıtmak için ilk vektörler olarak yıllık uzaktan kod yürütme kusurlarının kullanımı ile karakterize edilmektedir.
Kötü niyetli belgeler, açıldığında, CVE-2017-0199 için bir istismar tetikler, StealerBot’u DLL yan yükleme teknikleri aracılığıyla yüklemekten sorumlu sonraki aşama yükler sunar.
SideWinder tarafından benimsenen dikkate değer bir taktik, mızrak-aktı e-postalarının, yalnızca hedefleme kriterlerini karşılayan mağdurların kötü niyetli içerik sunulmasını sağlamak için jeofent yüklemelerle birleştirilmesidir. Kurbanın IP adresi eşleşmemesi durumunda, bir tuzak olarak boş bir RTF dosyası gönderilir.
Kötü niyetli yük, StealerBot kötü amaçlı yazılımını çalıştıran kabuk kodu tabanlı bir yükleyici başlatmak için denklem düzenleyicisinde bir bellek bozulması kırılganlığı olan CVE-2017-11882’yi silahlandıran bir RTF dosyasıdır.
Kaspersky’ye göre StealerBot, ek kötü amaçlı yazılımlar bırakmak, ters bir kabuk başlatmak ve ekran görüntüleri, tuş vuruşları, şifreler ve dosyalar da dahil olmak üzere tehlikeye atılmış ana bilgisayarlardan çok çeşitli veri toplamak için tasarlanmış bir .NET implanttır.
Araştırmacılar, “Sidewinder, zaman içinde tutarlı bir aktivite gösterdi, uzun süreli hareketsizlik olmadan istikrarlı bir operasyon hızını korudu – örgütsel sürekliliği ve sürekli niyeti yansıtan bir model.” Dedi.
“Taktikleri, teknikleri ve prosedürlerinin (TTP’leri) daha yakından analizi, yüksek derecede kontrol ve hassasiyet ortaya koyar, bu da kötü niyetli yüklerin sadece dikkatle seçilen hedeflere ve genellikle sınırlı bir süre için teslim edilmesini sağlar.”