История
2023: Group-IB в деталях рассказала о SideWinder
Российская компания Group-IB, специализирующаяся на технологиях информационной безопасности, в феврале 2023 года в деталях рассказала о хакерской APT-группировке SideWinder, которая, по данным исследователей, спонсируется индийскими властями. Основными целями киберпреступников являются государственные органы, военные организации и энергетический сектор.
Хакерская группировка SideWinder также имеет другие названия: Rattlesnake, Hardcore Nationalist, RAZOR TIGER, T-APT-04 и APT-C-17. Несмотря на то, что SideWinder была замечена в атаках на правительственные, военные и финансовые организации Афганистана, Непала, Шри Ланки, Бутана, Мьянмы, Филиппин, Бангладеша, Сингапура и Китая, главной целью хакеров является Пакистан. Причем особый интерес у SideWinder, как минимум с 2019 года, связан с военными объектами и целями в Пакистане. Местные власти даже опубликовали оповещение, предупреждающее об угрозах со стороны SideWinder и способах защиты от них.
В качестве основного вектора атаки группа использует фишинговые ссылки в письмах или постах, которые мимикрируют под легитимные оповещения и сервисы различных госучреждений и организаций Пакистана. Кроме этого группа была замечена за клонированием государственных веб-сайтов для сбора учетных данных пользователей. Вот, например, фишинговая страница аутентификации одного из госпорталов Шри-Ланки.
SideWinder начала использовать анти-бот скрипт для фильтрации потенциальных жертвы — атакующих интересуют только пользователи из Пакистана. Группа также использует уже знакомые техники рассылки вредоносных файлов в виде ZIP-архива с LNK-файлом внутри, который загружает HTA-файл с удалённого сервера.Обзор российского рынка банковской цифровизации: импортозамещение, искусственный интеллект и собственные экосистемы
По данным Group-IB, только в 2021 году хакеры пытались атаковать десятки правительственных и военных организаций в Афганистане, Бутане, Мьянме, Непале и на Шри-Ланке. В этой киберкампании участвовали хакеры, использующие Telegram для получения информации из взломанных сетей.
Исследователи также обнаружили два фишинговых проекта, имитирующих криптовалютные компании. Растущий интерес SideWinder к криптовалюте может быть связан с попытками регулирования крипторынка в Индии.[1]