Исследователь рассказала о тактике действия хакеров из группы SideWinder

Некоторые подробности тактики действия масштабно действующей хакерской группы SideWinder сообщила исследователь информационной безопасности из международной группы «Лаборатории Касперского» Нушин Шаба 12 мая на конференции по кибербезопасности Black Hat Asia 2022.

Группа SideWinder действует уже на протяжении 10 лет, последние два года она активно атакует цели на территории азиатских стран, фокусируясь на ресурсах, связанных с правоохранительными органами и армиями.

Хакеры используют вредоносные включения в файлы.lnk, .rft и документов Open Office на языке программирования JavaScript. Включения тщательно замаскированы, а методы обфускации (сокрытия за счет изменения кода до нечитаемости) периодически меняются.

Зараженные файлы развертывают сценарии, которые уже загружают атакующую вредоносную нагрузку. При этом используется большая сеть доставки вредоносного содержимого, насчитывающая 400 доменных имен.

Шаба отметила, что несмотря на результативность действия группировки, эффективно действует простейшая защита — своевременное обновление используемого программного обеспечения (ПО). Для работы своих атакующих средств группа широко использует уже выявленные уязвимости.