APT-groep SideWinder ook steeds meer buiten Zuid-Azië actief

Dit meldt het Global Research and Analysis Team (GReAT) van Kaspersky. SideWinder richt zich in toenemende mate op kerncentrales en energievoorzieningen in Zuid-Azië. Deze nucleaire verschuiving gaat gepaard met de geografische uitbreiding van de groep buiten zijn gebruikelijke doelgebieden.

SideWinder is zeker sinds 2012 actief en richtte zich traditioneel op overheids-, militaire en diplomatieke instanties, met een focus op Zuid-Azië. De groep heeft zijn doelwitten uitgebreid naar maritieme infrastructuur en logistieke bedrijven in Zuidoost-Azië en richt zich nu ook op de nucleaire sector. Onderzoekers van Kaspersky wijzen op een toename in aanvallen op nucleaire energieagentschappen, waarbij gebruik wordt gemaakt van spear-phishing-e-mails en schadelijke documenten vol met sectorspecifieke terminologie.

Aanvallen in diverse landen

Kaspersky wijst onder meer op diverse aanvallen in Djibouti waargenomen, evenals Egypte. Ook voerde de groep cyberaanvallen uit in Mozambique, Oostenrijk, Bulgarije, Cambodja, Indonesië, de Filippijnen en Vietnam. Diplomatieke entiteiten in Afghanistan, Algerije, Rwanda, Saoedi-Arabië, Turkije en Oeganda zijn ook aangevallen.

“Wat we zien is niet alleen een geografische uitbreiding, maar een strategische evolutie in de capaciteiten en ambities van SideWinder,” zegt Vasily Berdnikov, lead security researcher bij Kaspersky’s GReAT. “Ze kunnen bijgewerkte malwarevarianten opmerkelijk snel inzetten na detectie, waardoor het dreigingslandschap verandert van reactieve verdediging naar een bijna realtime strijd.”

Oude Microsoft Office-kwetsbaarheid misbruikt

Ondanks dat de groep vertrouwt op een oudere Microsoft Office-kwetsbaarheid (CVE-2017-11882), past SideWinder zijn aanvalsmiddelen razendsnel aan om detectie te ontwijken. Bij aanvallen op nucleaire infrastructuur maakt de groep overtuigende spear-phishing-e-mails die lijken te gaan over regelgeving of specifieke zaken van kerncentrales. Zodra deze worden geopend, starten de documenten een exploitatieketen die aanvallers toegang kan geven tot operationele gegevens, onderzoeksprojecten en personeelsinformatie van nucleaire faciliteiten.

Kaspersky beschermt organisaties tegen dergelijke aanvallen met meerdere beveiligingslagen, waaronder oplossingen voor kwetsbaarheidsbeheer, vroegtijdige aanvalspreventie, realtime dreigingsdetectie met automatische respons en voortdurend bijgewerkte detectieregels die inspelen op de zich ontwikkelende malware van SideWinder.

Aanbevelingen voor bescherming tegen geavanceerde gerichte aanvallen:

• Om organisaties te helpen bij het beschermen van hun kritieke infrastructuur tegen geavanceerde dreigingen, bevelen Kaspersky-experts de volgende maatregelen aan:
• Implementeer uitgebreid patchbeheer. Als voorbeeld noemt het bedrijf Kaspersky Vulnerability Assessment and Patch Management, dat geautomatiseerde detectie van kwetsbaarheden en distributie van patches biedt.
• Gebruik gelaagde beveiligingsoplossingen met realtime dreigingsdetectie. Denk daarbij aan Kaspersky Next XDR Expert dat gegevens uit meerdere bronnen verzamelt en correleert met behulp van machine learning voor detectie en automatische respons op geavanceerde aanvallen.
• Geef regelmatig cybersecurity-trainingen aan medewerkers, met speciale nadruk op het herkennen van geavanceerde spear-phishing-aanvallen.

De volledige technische analyse van de nieuwste activiteiten van SideWinder is beschikbaar op Securelist.com.