أصبحت شركات الشحن البحري والخدمات اللوجستية في جنوب وجنوب شرق آسيا والشرق الأوسط وإفريقيا هدفًا لمجموعة تهديدات متقدمة مستمرة (APT) تُعرف باسم SideWinder.
وقد رصدت شركة Kaspersky هذه الهجمات خلال عام 2024، حيث امتدت إلى دول مثل بنغلاديش، كمبوديا، جيبوتي، مصر، الإمارات العربية المتحدة، وفيتنام. كما شملت الأهداف الأخرى محطات الطاقة النووية والبنية التحتية للطاقة النووية في جنوب آسيا وإفريقيا، بالإضافة إلى شركات الاتصالات، الاستشارات، خدمات تكنولوجيا المعلومات، وكالات العقارات، والفنادق.
توسع أهداف SideWinder:
في توسع ملحوظ لقائمة أهدافها، استهدفت SideWinder أيضًا كيانات دبلوماسية في أفغانستان، الجزائر، بلغاريا، الصين، الهند، جزر المالديف، رواندا، السعودية، تركيا، وأوغندا. يُعد استهداف الهند أمرًا ذا أهمية خاصة، حيث كان يُشتبه سابقًا في أن المجموعة تنتمي إلى أصول هندية.
وقال الباحثان جيامباولو ديدولا وفاسيلي بيردينكوف: “من الجدير بالذكر أن SideWinder تعمل باستمرار على تحسين أدواتها، والبقاء متقدمة على كشف برامج الأمان، وتمديد بقائها على الشبكات المخترقة، وإخفاء وجودها على الأنظمة المصابة”، واصفين إياها بأنها “خصم متقدم وخطير للغاية”.
أدوات وتقنيات الهجوم:
كانت SideWinder موضوع تحليل موسع من قبل شركة Kaspersky في أكتوبر 2024، حيث وثقت استخدام المجموعة لأدوات ما بعد الاختراق تُعرف باسم StealerBot لسرقة مجموعة واسعة من المعلومات الحساسة من الأنظمة المخترقة. كما أبرزت شركة BlackBerry في يوليو 2024 استهداف المجموعة لقطاع الشحن البحري.
تعتمد سلسلة الهجمات الأخيرة على نفس النمط الذي تم الإبلاغ عنه سابقًا، حيث تُستخدم رسائل التصيد الاحتيالي (Spear-Phishing) كوسيلة لتوصيل مستندات ضارة تستغل ثغرة أمنية معروفة في Microsoft Office Equation Editor (CVE-2017-11882) لتنشيط سلسلة هجوم متعددة المراحل. تستخدم هذه السلسلة أداة تنزيل تعمل بلغة .NET تُسمى ModuleInstaller لتنفيذ StealerBot في النهاية.
محتوى المستندات الضارة:
أشارت Kaspersky إلى أن بعض المستندات الضارة كانت مرتبطة بمحطات الطاقة النووية ووكالات الطاقة النووية، بينما تضمنت أخرى محتوى يشير إلى البنية التحتية البحرية وسلطات الموانئ المختلفة.
استجابة SideWinder للكشف:
قالت Kaspersky: “تقوم المجموعة بمراقبة مستمرة لكشف أدواتها من قبل حلول الأمان. بمجرد تحديد أدواتها، تستجيب عن طريق إنشاء نسخة جديدة ومعدلة من البرمجيات الخبيثة، غالبًا في أقل من خمس ساعات”.
وأضافت: “إذا تم اكتشاف سلوكيات مشبوهة، تحاول SideWinder تغيير التقنيات المستخدمة للحفاظ على بقائها وتحميل المكونات الضارة. بالإضافة إلى ذلك، تقوم بتغيير أسماء ومسارات ملفاتها الخبيثة”.
