Sidewinder Gelişmiş Kalıcı Tehdit (APT) grubunun, özellikle çeşitli bölgelerdeki askeri ve devlet kuruluşlarını hedefleyen faaliyetlerini yoğunlaştırdığı gözlemlenmiştir.
Geleneksel hedeflerin ötesinde agresif genişlemesi ile bilinen bu grup, yakın zamanda araç setini casusluk için tasarlanmış sofistike kötü amaçlı yazılımları içerecek şekilde güncelledi.
Sidewinder’ın birincil hedefleri tarihsel olarak Pakistan, Sri Lanka, Çin ve Nepal’deki varlıkları içeriyordu, ancak son faaliyetler Güney ve Güneydoğu Asya, Orta Doğu ve Afrika’daki deniz altyapıları ve lojistik şirketlerini içerecek şekilde genişledi.
Geliştirilmiş araç seti ve enfeksiyon vektörleri
SideWinder’ın güncellenmiş araç seti, kötü niyetli DOCX ekleri ile mızrak-akma e-postalarının kullanımını içerir.
Bu belgeler, çok seviyeli bir enfeksiyon işlemi başlatmak için bilinen bir Microsoft Office güvenlik açığından (CVE-2017-11882) kullanır.
İstismar, “stealerbot” sömürü sonrası araç seti için bir yükleyici görevi gören bir “arka kapı yükleyici” nin kurulumuna yol açar.
Bu araç seti sadece SideWinder tarafından kullanılır ve gelişmiş casusluk özellikleri için tasarlanmıştır.
Grup, genellikle güvenlik yazılımı tarafından tanımlandıktan sonraki birkaç saat içinde algılamadan kaçınmak için araçlarını sürekli olarak günceller.
Güvenli Liste raporuna göre, bu hızlı uyarlama dosya adlarının ve yollarının değiştirilmesinin yanı sıra tehlikeye atılan ağlarda kalıcılığı korumak için teknikleri değiştirmeyi içerir.
Hedeflenen sektörler ve coğrafi genişleme
SideWinder’ın son faaliyetleri, denizcilik altyapılarına ve lojistik şirketlerine yönelik saldırılarda önemli bir artış göstermiştir.
Buna ek olarak, Güney Asya’da nükleer santrallere ve nükleer enerjiye dikkat çekici bir ilgi vardır.
Grubun coğrafi erişimi genişledi ve Djibouti, Mısır ve çeşitli Afrika ülkeleri gibi ülkelerde saldırılar tespit edildi.
Diğer hedeflenen sektörler arasında telekomünikasyon, danışmanlık, BT hizmetleri, gayrimenkul ve oteller bulunmaktadır.
Grubun operasyonlarını hızlı bir şekilde uyarlama ve genişletme yeteneği, gelişmiş yeteneklerinin ve kalıcı tehdidi kritik altyapıya yöneliktir.
Bu tehditleri azaltmak için, kuruluşların sağlam yama yönetimi süreçlerini sürdürmeleri ve olay tespit ve yanıt yeteneklerini içeren kapsamlı güvenlik çözümlerini kullanmaları çok önemlidir.
Düzenli çalışan eğitimi ve farkındalık programları, SideWinder’ın operasyonları için birincil vektör olarak kalan mızrak aktı saldırılarını önlemek için de gereklidir.
Sidewinder gelişmeye devam ettikçe, devam eden izleme ve güvenlik önlemlerinde güncellemeler, sofistike ve hızla gelişen araç setine karşı korunmak için hayati önem taşıyor.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.