Эксперты Kaspersky GReAT обнаружили, что хакерская группа SideWinder с 2024 года атакует объекты атомной отрасли в Южной Азии, Африке и Европе, используя фишинговые письма и сложное вредоносное ПО для кибершпионажа.
С 2024 года хакерская группа SideWinder начала проводить целевые кибератаки на объекты атомной отрасли в Южной Азии, включая АЭС и агентства по атомной энергии. Цель злоумышленников — кибершпионаж. Эксперты Kaspersky GReAT также зафиксировали расширение географии атак: теперь они охватывают страны Африки, Юго-Восточной Азии и части Европы.
SideWinder использует фишинговые письма с вредоносными вложениями, маскируя их под документы, связанные с регулированием атомной отрасли или работой предприятий. Если жертва открывает вложение, злоумышленники получают доступ к конфиденциальной информации. Для атак применяются сложные инструменты, такие как StealerBot и уязвимость в Microsoft Office (CVE-2017-11882). Чтобы избежать обнаружения, группа быстро модифицирует свои инструменты — иногда за менее чем пять часов.
«Мы наблюдаем не просто расширение географии атак, но и существенную эволюцию технических возможностей и амбиций группы SideWinder. Злоумышленникам удается с поразительной скоростью развертывать обновленные варианты вредоносного ПО после обнаружения. Это меняет ландшафт киберугроз: от реагирования мы переходим практически к противостоянию с атакующими в режиме реального времени».
Василий Бердников, ведущий эксперт Kaspersky GReAT
Ранее SideWinder атаковала правительственные, военные и дипломатические учреждения, но в 2024 году добавила в список целей атомную энергетику, морскую инфраструктуру и логистические компании. География атак расширилась до 15 стран, включая Джибути, Египет, Австрию, Болгарию, Камбоджу, Индонезию и другие.