تستهدف الهجمات السيبرانية SideWinder الجديدة المنشآت البحرية في بلدان متعددة
يُعزى ممثل تهديد الدولة القومية المعروف باسم SideWinder إلى حملة تجسس إلكترونية جديدة تستهدف الموانئ والمرافق البحرية في المحيط الهندي والبحر الأبيض المتوسط.
فريق بلاك بيري للأبحاث والاستخبارات، الذي اكتشف النشاط، وقال إن الأهداف المذكورة لحملة التصيد الاحتيالي تشمل دولًا مثل باكستان ومصر وسريلانكا وبنغلاديش وميانمار ونيبال وجزر المالديف.
تم تقييم SideWinder، والمعروف أيضًا بأسماء APT-C-17 وBaby Elephant وHardcore Nationalist وRattlesnake وRazor Tiger، على أنه تابع للهند. لقد تم تشغيله منذ عام 2012، وغالبًا ما يستخدم التصيد الاحتيالي كناقل لتوصيل حمولات ضارة تؤدي إلى تشغيل سلاسل الهجوم.
وقالت شركة الأمن السيبراني الكندية في تحليل نُشر الأسبوع الماضي: “تستفيد SideWinder من التصيد الاحتيالي عبر البريد الإلكتروني واستغلال المستندات وتقنيات التحميل الجانبي لملفات DLL في محاولة لتجنب الكشف وتقديم عمليات زرع مستهدفة”.
تستخدم المجموعة الأخيرة من الهجمات الإغراءات المتعلقة بالتحرش الجنسي، وإنهاء خدمة الموظفين، وخفض الرواتب من أجل التأثير سلبًا على الحالة العاطفية للمستلمين وخداعهم لفتح مستندات Microsoft Word مفخخة.
بمجرد فتح الملف الخادع، فإنه يستفيد من ثغرة أمنية معروفة (CVE-2017-0199) لإنشاء اتصال مع نطاق ضار يتنكر في هيئة المديرية العامة للموانئ والشحن في باكستان (“reports.dgps-govtpk”[.]com”) لاسترداد ملف RTF.
يقوم مستند RTF بدوره بتنزيل مستند يستغل CVE-2017-11882، وهي ثغرة أمنية أخرى عمرها سنوات في محرر المعادلات لـ Microsoft Office، بهدف تنفيذ كود القشرة المسؤول عن إطلاق كود JavaScript، ولكن فقط بعد التأكد من أن النظام المخترق مشروع ويثير اهتمام جهة التهديد.
ليس من المعروف حاليًا ما يتم تقديمه عن طريق برامج JavaScript الضارة، على الرغم من أن الهدف النهائي من المرجح أن يكون جمع المعلومات الاستخبارية بناءً على الحملات السابقة التي شنها SideWinder.
وقالت بلاك بيري: “يواصل ممثل التهديد SideWinder تحسين بنيته التحتية لاستهداف الضحايا في مناطق جديدة”. “إن التطور المطرد للبنية التحتية لشبكتها وحمولاتها يشير إلى أن SideWinder ستواصل هجماتها في المستقبل المنظور.”
إرسال التعليق