Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

SideWinder усвојува нов нападен ланец базиран на ClickOnce, насочен кон дипломати во Јужна Азија

Објавено: 28.10.2025

Европска амбасада во индиската престолнина Њу Делхи, како и повеќе организации во Шри Ланка, Пакистан и Бангладеш, беа цел на нова кампања изведена од актерот на закана познат како SideWinder во септември 2025 година.

Активноста „открива значителна еволуција во TTP‑тата на SideWinder, особено усвојување на нов инфективен ланец базиран на PDF и ClickOnce, покрај претходно документираните вектор‑напади преку Microsoft Word,“ изјавија истражувачите од Trellix, Ернесто Фернандез Провечо и Фам Дуј Фук, во извештај објавен минатата недела.

Нападите, кои вклучуваа испраќање насочени фишинг‑е‑пораки во четири бранa од март до септември 2025 година, беа дизајнирани да достават малициозни фамилии како ModuleInstaller и StealerBot за собирање чувствителни информации од компромитирани уреди.

Додека ModuleInstaller служи како downloader за следните етапи (payloads), StealerBot е .NET имплант кој може да покрене reverse shell (обратна командна врска), да достави дополнителен малициозен софтвер и да собира широк спектар податоци од компромитираниот уред, вклучувајќи снимки на екран, притисоци на тастатура (keystrokes), лозинки и фајлови.

Треба да се напомене дека и ModuleInstaller и StealerBot првпат беа јавно документирани од Kaspersky во октомври 2024 година како дел од напади кои оваа хакерска група ги изведуваше насочено кон високо‑профилни цели и стратешки инфраструктури на Блискиот Исток и во Африка.

Дури и во мај 2025 година, Acronis откри напади на SideWinder насочени кон државни институции во Шри Ланка, Бангладеш и Пакистан, кои користеа документи натоварени со малициозен код искористувајќи познати ранливости во Microsoft Office за да започнат мулти‑степен напаѓачки ланец и на крај да достават StealerBot.

Најновиот сет напади, набљудуван од Trellix по 1 септември 2025 и насочен кон индиски амбасади, вклучува употреба на Microsoft Word и PDF документи во фишинг‑пораките со наслови како „Inter-ministerial meeting Credentials.pdf“ или „India-Pakistan Conflict – Strategic and Tactical Analysis of the May 2025.docx.“ Пораките се испраќаат од доменот mod.gov.bd.pk-mail[.]org во обид да се имитира Министерството за одбрана на Пакистан.`

„Почетниот вектор за инфицирање е секогаш ист: PDF фајл што жртвата не може правилно да го види или Word документ што содржи некој експлоит,“ изјави Trellix. „PDF фајловите содржат копче што ги поттикнува жртвите да го преземат и инсталираат најновото издание на Adobe Reader за да го видат содржината на документот.“

Меѓутоа, тоа активира преземање на ClickOnce апликација од далечински сервер („mofa-gov-bd.filenest[.]live“), која при стартување го вчитува (sideload) малициозниот DLL („DEVOBJ.dll“), додека истовремено им прикажува на жртвите декој документ (decoy PDF).

ClickOnce апликацијата е легитимен извршен фајл од MagTek Inc. („ReaderConfiguration.exe“) кој се претставува како Adobe Reader и е потпишан со валиден дигитален потпис за да не предизвика сомнежи. Дополнително, барањата кон командно‑контролниот (C2) сервер се регионално ограничени на Јужна Азија, а патеката за преземање на payload‑от се генерира динамички, што го отежнува анализирањето.

Злонамерниот DLL, пак, е дизајниран да го декриптира и да го покрене .NET loader‑от наречен ModuleInstaller, кој потоа ја профилира инфицираната машина и ја доставува малициозната програма StealerBot.

Наодите укажуваат на тековни напори од страна на упорните актери на закана да го усовршат својот начин на работа и да ги заобиколат безбедносните мерки за да ги постигнат своите цели.

„Мулти‑брановите фишинг кампањи го демонстрираат прилагодливото однесување на групата во креирањето високо‑специфични мамки за различни дипломатски цели, што укажува на софистицирано разбирање на геополитичките контексти,“ изјавија од Trellix. „Континуираната употреба на прилагоден малициозен софтвер, како ModuleInstaller и StealerBot, заедно со умното злоупотребување на легитимни апликации за sideloading, ја нагласува приврзаноста на SideWinder кон софистицирани техники за евазија и шпионажни цели.“

Извори:

  • The Hacker News – „SideWinder Adopts New ClickOnce-Based Attack Chain Targeting South Asian Diplomats“ .The Hacker News