Güney ve Güneydoğu Asya, Orta Doğu ve Afrika’daki denizcilik ve lojistik şirketleri, SideWinder olarak adlandırılan gelişmiş kalıcı tehdit (APT) grubunun hedefi haline geldi.
Kaspersky tarafından 2024’te gözlemlenen saldırılar, Bangladeş, Kamboçya, Djibouti, Mısır, Birleşik Arap Emirlikleri ve Vietnam’a yayıldı. Diğer ilgi alanları arasında nükleer santraller ve Güney Asya ve Afrika’daki nükleer enerji altyapısı, telekomünikasyon, danışmanlık, BT hizmet şirketleri, emlak ajansları ve oteller bulunmaktadır.
Victimoloji ayak izinin daha geniş bir genişlemesi gibi görünen Sidewinder, Afganistan, Cezayir, Bulgaristan, Çin, Hindistan, Maldivler, Ruanda, Suudi Arabistan, Türkiye ve Uganda’daki diplomatik varlıkları da hedefledi. Tehdit oyuncunun daha önce Hindistan kökenli olduğundan şüphelenildiği için Hindistan’ın hedeflenmesi önemlidir.
Araştırmacılar Giampaolo Dedola ve Vasily Berdnikov, “Sidewinder’ın araç setlerini geliştirmek, güvenlik yazılımı tespitlerinin önünde kalmak, güvenliği ihlal edilmiş ağlarda kalıcılığı genişletmek ve enfekte sistemlerdeki varlığını gizlemek için sürekli çalıştığını belirtmek gerekir.” Dedi.
Sidewinder, Rus siber güvenlik şirketi tarafından Ekim 2024’te kapsamlı bir analiz konusuydu ve tehdit oyuncunun, uzlaşmış konakçılardan çok çeşitli hassas bilgileri yakalamak için Stealerbot adlı modüler bir sömürü sonrası araç seti kullanmasını belgeledi. Hacking grubunun deniz sektörünü hedeflemesi de Temmuz 2024’te BlackBerry tarafından vurgulandı.
En son saldırı zincirleri, daha önce bildirilenlerle hizalanır, mızrak-akma e-postaları, Modicy indirici olarak adlandırılan bir çok aşamalı sırayı etkinleştirmek için Microsoft Office denklemi düzenleyicisinde bilinen bir güvenlik açığından (CVE-2017-11882) ulaşan bir güvenlik açığından yararlanan bir kanal olarak hareket eden bir kanal olarak hareket eder.
Kaspersky, bazı cazibe belgelerinin nükleer enerji santralleri ve nükleer enerji ajansları ile ilgili olduğunu, diğerleri ise denizcilik altyapılarını ve çeşitli liman yetkililerini içerik içerdiğini söyledi.
Kaspersky, “Güvenlik çözümleriyle araç setlerinin tespitlerini sürekli olarak izliyorlar.” Dedi. “Araçları tanımlandıktan sonra, genellikle beş saatin altında, kötü amaçlı yazılımın yeni ve değiştirilmiş bir versiyonunu oluşturarak yanıt verirler.”
“Davranışsal tespitler meydana gelirse, Sidewinder kalıcılığı korumak ve bileşenleri korumak için kullanılan teknikleri değiştirmeye çalışır. Ayrıca, kötü amaçlı dosyalarının adlarını ve yollarını değiştirirler.”