Perusahaan maritim dan logistik di Asia Selatan dan Tenggara, Timur Tengah, dan Afrika telah menjadi target kelompok ancaman persisten canggih yang dijuluki Sidewinder.
Serangan -serangan itu, yang diamati oleh Kaspersky pada tahun 2024, tersebar di Bangladesh, Kamboja, Djibouti, Mesir, Uni Emirat Arab, dan Vietnam. Target menarik lainnya termasuk pembangkit listrik tenaga nuklir dan infrastruktur energi nuklir di Asia Selatan dan Afrika, serta telekomunikasi, konsultasi, perusahaan layanan TI, agen real estat, dan hotel.
Dalam apa yang tampaknya merupakan perluasan yang lebih luas dari jejak korbannya, Sidewinder juga menargetkan entitas diplomatik di Afghanistan, Aljazair, Bulgaria, Cina, India, Maladewa, Rwanda, Arab Saudi, Turki, dan Uganda. Penargetan India adalah signifikan karena aktor ancaman sebelumnya diduga berasal dari India.
“Perlu dicatat bahwa Sidewinder terus -menerus bekerja untuk meningkatkan peralatannya, tetap di depan deteksi perangkat lunak keamanan, memperluas kegigihan pada jaringan yang dikompromikan, dan menyembunyikan kehadirannya pada sistem yang terinfeksi,” kata para peneliti Giampaolo Dedola dan Vasily Berdnikov, menggambarkannya sebagai “musuh yang sangat maju dan berbahaya.”
Sidewinder sebelumnya menjadi subjek analisis ekstensif oleh perusahaan keamanan siber Rusia pada bulan Oktober 2024, mendokumentasikan penggunaan alat ancaman aktor pasca-eksploitasi modular yang disebut StealerBot untuk menangkap berbagai informasi sensitif dari host yang dikompromikan. Penargetan kelompok peretasan dari sektor maritim juga disorot oleh BlackBerry pada Juli 2024.
Rantai serangan terbaru selaras dengan apa yang telah dilaporkan sebelumnya, dengan email phishing tombak yang bertindak sebagai saluran untuk mengirimkan dokumen yang terjebak booby yang memanfaatkan kerentanan keamanan yang diketahui dalam editor persamaan Microsoft Office (CVE-2017-11882) untuk mengaktifkan urutan multi-tahap, yang pada gilirannya, menggunakan A. NET.
Kaspersky mengatakan beberapa dokumen umpan terkait dengan pembangkit listrik tenaga nuklir dan lembaga energi nuklir, sementara yang lain termasuk konten yang merujuk pada infrastruktur maritim dan berbagai otoritas pelabuhan.
“Mereka terus memantau deteksi alat mereka dengan solusi keamanan,” kata Kaspersky. “Setelah alat mereka diidentifikasi, mereka merespons dengan menghasilkan versi malware yang baru dan dimodifikasi, seringkali dalam waktu kurang dari lima jam.”
“Jika deteksi perilaku terjadi, Sidewinder mencoba mengubah teknik yang digunakan untuk mempertahankan persistensi dan memuat komponen. Selain itu, mereka mengubah nama dan jalur file berbahaya mereka.”
