Группа SideWinder развернула новую кибершпионскую кампанию против госструктур в Южной Азии – под удар попали ведомства Шри-Ланки, Бангладеш и Пакистана. По данным компании Acronis, атаки начались с фишинговых писем с вредоносными документами, которые срабатывали только у получателей из нужных стран – в остальных случаях открывался пустой файл.
Для заражения использовались уязвимости в Microsoft Office, давно известные, но всё ещё актуальные – CVE-2017-0199 и CVE-2017-11882 . Открытие документа активировало загрузку StealerBot – вредоноса на .NET, способного собирать скриншоты, ввод с клавиатуры, пароли, файлы и передавать управление атакующему через обратный шелл. Распространялся он через подмену библиотек DLL, что затрудняет его обнаружение.
Целями стали министерства обороны, финансов, центробанки и телеком-регуляторы. Геофильтрация атак и строгое ограничение активности по времени говорят о продуманной и точечной тактике. SideWinder продолжает действовать с высокой регулярностью, избегая долгих пауз, что указывает на устойчивую структуру и стабильную мотивацию.
Аналогичную активность данной группы ранее фиксировалиспециалисты “Лаборатории Касперского”, что подтверждает преемственность подхода и стабильность инструментария. Несмотря на возраст эксплойтов, атаки по-прежнему эффективны – уязвимые системы остаются без обновлений, а злоумышленники этим пользуются.