A SideWinder APT egy növekvő kiberfenyegetés, amely a kritikus szektorokat célozza meg

A SideWinder APT, egy rendkívül kifinomult kiberkémkedési csoport, aktívan megcélozta a tengerészeti, nukleáris és IT szektorokat Dél- és Délkelet-Ázsiában, a Közel-Keleten és Afrikában. Az eredetileg kormányzati szervek elleni támadásokról ismert csoport mostanra kiterjesztette hatókörét magáncégekre és a kritikus infrastruktúrákra. A legújabb jelentések szerint a SideWinder több kibertámadásért is felelős volt többek között Bangladesben, Kambodzsában, Egyiptomban és az Egyesült Arab Emírségekben.

Hogyan működik a SideWinder APT

A csoport elsősorban a lándzsás adathalász technikákra támaszkodik a rosszindulatú rakományok szállítása érdekében. A támadók gondosan kidolgozott e-maileket küldenek fegyveres Microsoft Office-dokumentumokat tartalmazó, ismert sebezhetőségeket kihasználó, például CVE-2017-11882-t, a Microsoft Office régi hibáját, amely lehetővé teszi a kód futtatását felhasználói beavatkozás nélkül. A végrehajtást követően ezek a dokumentumok olyan rosszindulatú programokat helyeznek üzembe, amelyek képesek érzékeny adatok ellopására, rendszertevékenység megfigyelésére, és folyamatos hozzáférést biztosítanak a feltört hálózatokhoz.

A SideWinder a StealerBot nevű moduláris kártevő-keretrendszert is használja, amely javítja a hitelesítő adatok ellopását, a parancsok távoli végrehajtását és az értékes információk kiszűrését. Nevezetesen, a csoport arról ismert, hogy gyorsan módosítja támadási módszereit az észlelés elkerülése érdekében, és néha a felfedezést követő órákon belül megváltoztatja a rosszindulatú programok aláírását.

Miért veszélyes a SideWinder APT?

Úgy tűnik, hogy a SideWinder APT elsődleges célja a kiberkémkedés. A csoport az atomerőműveket, az energiacégeket, a távközlési szolgáltatókat, sőt a vendéglátóipart is célba vette. Az ezekbe a szektorokba való beszivárgás lehetősége komoly kockázatot jelent, mivel a támadók minősített információkhoz juthatnak, megzavarhatják az ellátási láncokat vagy manipulálhatják a kritikus rendszereket.

A csoport fejlett taktikája, folyamatos fejlődése és stratégiai célzása arra utal, hogy jól finanszírozott és államilag támogatott. A több iparágat és földrajzi régiót érintő támadásokkal a SideWinder továbbra is komoly kiberbiztonsági aggályt jelent.

Hogyan védekezzünk a SideWinder APT ellen

A szervezetek és egyének több lépést is megtehetnek a SideWinder APT támadások elleni védekezésben:

• A szoftverek rendszeres frissítése – Győződjön meg arról, hogy minden operációs rendszer és alkalmazás ki van javítva az ismert sebezhetőségek ellen, különösen a SideWinder által gyakran használtak ellen.
• Használjon kártevő-elhárító programot – Egy erős kiberbiztonsági megoldás képes észlelni és blokkolni a rosszindulatú dokumentumokat, az adathalász kísérleteket és a rosszindulatú programokat, mielőtt azok kárt okoznának.
• Engedélyezze a többtényezős hitelesítést (MFA) – Az MFA megvalósítása megakadályozhatja a jogosulatlan hozzáférést még akkor is, ha a hitelesítési adatok sérülnek.
• Az alkalmazottak oktatása az adathalászat kockázatairól – A szervezeteknek ki kell képezniük a személyzetet, hogy felismerjék és jelentsék a gyanús e-maileket, hogy megakadályozzák a rosszindulatú programok fertőzését.
• Hálózati forgalom figyelése – A szokatlan tevékenységek, például a jogosulatlan adatátvitel vagy a folyamatos hozzáférési kísérletek észlelése segíthet azonosítani a potenciális behatolást.

A SideWinder APT folyamatosan fejlődik, ami elengedhetetlenné teszi a szervezetek számára, hogy proaktívak maradjanak kiberbiztonsági intézkedéseikben. Amíg ez a csoport aktív marad, a vállalkozásoknak és a kormányzati szerveknek ébernek kell maradniuk a kiberkémkedés növekvő fenyegetésével szemben.