گروه هکری SideWinder صنایع دریایی، هسته‌ای و فناوری اطلاعات را در آسیا، خاورمیانه و آفریقا هدف قرار می‌دهد

گروه هکری SideWinder، با حملات سایبری گسترده، صنایع دریایی، هسته‌ای و فناوری اطلاعات را در آسیا، خاورمیانه و آفریقا هدف قرار داده است. این گروه با استفاده از روش‌های پیشرفته و ابزارهای پیچیده، اطلاعات حساس را به سرقت می‌برد. آیا این حملات نشان‌دهنده افزایش تهدیدات سایبری علیه زیرساخت‌های حیاتی است؟

به گزارش زوم تک از The Hacker News، شرکت‌های دریایی و لجستیکی در جنوب و جنوب شرقی آسیا، خاورمیانه و آفریقا هدف حملات یک گروه تهدید دائمی پیشرفته (APT) به نام SideWinder قرار گرفته‌اند.

این حملات که توسط کسپرسکی در سال 2024 مشاهده شده‌اند، در بنگلادش، کامبوج، جیبوتی، مصر، امارات متحده عربی و ویتنام گسترش یافته‌اند. سایر اهداف مورد علاقه شامل نیروگاه‌های هسته‌ای و زیرساخت‌های انرژی هسته‌ای در جنوب آسیا و آفریقا، و همچنین شرکت‌های مخابراتی، مشاوره، خدمات فناوری اطلاعات، آژانس‌های املاک و مستغلات و هتل‌ها هستند.

در آنچه به نظر می‌رسد گسترش وسیع‌تر ردپای قربانیان آن است، SideWinder نهادهای دیپلماتیک در افغانستان، الجزایر، بلغارستان، چین، هند، مالدیو، رواندا، عربستان سعودی، ترکیه و اوگاندا را نیز هدف قرار داده است. هدف قرار دادن هند قابل توجه است زیرا قبلاً گمان می‌رفت که این تهدید از مبدأ هندی باشد.

محققان Giampaolo Dedola و Vasily Berdnikov، با توصیف آن به عنوان “یک دشمن بسیار پیشرفته و خطرناک” گفتند: “شایان ذکر است که SideWinder دائماً برای بهبود مجموعه‌های ابزار خود، پیشی گرفتن از شناسایی نرم‌افزارهای امنیتی، گسترش ماندگاری در شبکه‌های در معرض خطر و پنهان کردن حضور خود در سیستم‌های آلوده تلاش می‌کند.”

SideWinder قبلاً موضوع یک تحلیل گسترده توسط شرکت امنیت سایبری روسی در اکتبر 2024 بود که استفاده این تهدید از یک مجموعه ابزار پس از بهره‌برداری ماژولار به نام StealerBot را برای ضبط طیف گسترده‌ای از اطلاعات حساس از میزبان‌های در معرض خطر مستند می‌کرد. هدف قرار دادن بخش دریایی توسط این گروه هکری نیز توسط بلک بری در ژوئیه 2024 برجسته شد.

آخرین زنجیره‌های حمله با آنچه قبلاً گزارش شده است همسو هستند، با ایمیل‌های نیزه ماهیگیری که به عنوان مجرایی برای تحویل اسناد تله‌گذاری شده عمل می‌کنند که از یک آسیب‌پذیری امنیتی شناخته شده در Microsoft Office Equation Editor (CVE-2017-11882) برای فعال کردن یک توالی چند مرحله‌ای استفاده می‌کنند، که به نوبه خود، از یک دانلودر دات نت به نام ModuleInstaller برای راه‌اندازی StealerBot استفاده می‌کند.

کسپرسکی گفت برخی از اسناد فریبنده مربوط به نیروگاه‌های هسته‌ای و آژانس‌های انرژی هسته‌ای هستند، در حالی که برخی دیگر شامل محتوایی با اشاره به زیرساخت‌های دریایی و مقامات بندری مختلف هستند.

کسپرسکی گفت: “آنها دائماً شناسایی مجموعه‌های ابزار خود توسط راه حل‌های امنیتی را نظارت می‌کنند. هنگامی که ابزارهای آنها شناسایی می‌شوند، با تولید یک نسخه جدید و اصلاح شده از بدافزار، اغلب در کمتر از پنج ساعت، پاسخ می‌دهند.”

“اگر شناسایی رفتاری رخ دهد، SideWinder سعی می‌کند تکنیک‌های مورد استفاده برای حفظ ماندگاری و بارگیری اجزا را تغییر دهد. علاوه بر این، آنها نام‌ها و مسیرهای فایل‌های مخرب خود را تغییر می‌دهند.”