هجمات “سايدويندر” تستغل ثغرات قديمة في أوفيس لاستهداف وزارات جنوب آسيا ببرمجيات خبيثة مخصصة

كشف باحثون أمنيون عن حملة جديدة لفاعل تهديد يُعرف باسم “سايدويندر” (SideWinder) تستهدف مؤسسات حكومية رفيعة المستوى في سريلانكا وبنغلاديش وباكستان.

تفاصيل الهجوم وأهدافه

• تستخدم الهجمات رسائل تصيد احتيالي مستهدفة (Spear Phishing) مع حمولات جغرافية لتأكيد وصول المحتوى الخبيث فقط للضحايا في دول محددة

• تستغل ثغرات قديمة في Microsoft Office (CVE-2017-0199 و CVE-2017-11882) كنقاط اختراق أولية

• تُنزل برمجية StealerBot الخبيثة التي توفر وصولاً مستمراً للأنظمة

أبرز المؤسسات المستهدفة:

• بنغلاديش: هيئة تنظيم الاتصالات، وزارة الدفاع، وزارة المالية

• باكستان: مديرية التطوير التقني المحلي

• سريلانكا: وزارة الدفاع، البنك المركزي، إدارة الموارد الخارجية

آلية العمل والتكتيكات المتقدمة

1. استغلال الثغرات القديمة:

   • ثغرة CVE-2017-0199 (تنفيذ أكواد عن بعد عبر مستندات RTF)

   • ثغرة CVE-2017-11882 (فساد الذاكرة في محرر المعادلات)

2. الحمولات الجغرافية:

   • يتم تقديم المحتوى الخبيث فقط إذا كان عنوان IP الضحية من الدولة المستهدفة

   • في حال عدم التطابق، يتم إرسال ملف RTF فارغ كإلهاء

3. تكتيكات متقدمة:

   • استخدام تقنية DLL Side-Loading لتنزيل البرمجيات الخبيثة

   • برمجية StealerBot تجمع البيانات الحساسة بما في ذلك:

     • لقطات الشاشة

     • ضغطات لوحة المفاتيح

     • كلمات المرور

     • الملفات المهمة

تحليل سلوك مجموعة سايدويندر

• تُظهر المجموعة استمرارية تنظيمية ونشاطاً متواصلاً دون فترات توقف طويلة

• تتميز هجماتها بـالدقة العالية والاستهداف الجغرافي الدقيق

• تستخدم فترات زمنية محدودة لنشر الحمولات الخبيثة لتجنب الاكتشاف

توصيات أمنية

1. ترقيع الأنظمة ضد الثغرات المستغلة (خاصة CVE-2017-0199 و CVE-2017-11882)

2. تعزيز الوعي الأمني حول رسائل التصيد المستهدفة

3. تنفيذ حلول متقدمة لاكتشاف البرمجيات الخبيثة

4. مراقبة حركة الشبكة للكشف عن الاتصالات المشبوهة

5. تقييد صلاحيات المستخدمين لتقليل تأثير الهجمات

يُذكر أن هذه الحملة تتفق مع أنماط هجوم سابقة لـ”سايدويندر” تم توثيقها من قبل “كاسبرسكي” في مارس 2025، مما يؤكد تطور قدرات هذه المجموعة في استهداف المؤسسات الحكومية.