Les sociétés maritimes et logistiques en Asie du Sud et du Sud-Est, au Moyen-Orient et en Afrique sont devenues la cible d’un groupe avancé de menace persistante (APT) surnommée Sidewinder.
Les attaques, observées par Kaspersky en 2024, se sont répandues à travers le Bangladesh, le Cambodge, Djibouti, l’Égypte, les Émirats arabes unis et le Vietnam. Les autres objectifs d’intérêt comprennent les centrales nucléaires et les infrastructures d’énergie nucléaire en Asie du Sud et en Afrique, ainsi que des télécommunications, des conseils, des sociétés de services informatiques, des agences immobilières et des hôtels.
Dans ce qui semble être une expansion plus large de son empreinte victime, Sidewinder a également ciblé des entités diplomatiques en Afghanistan, en Algérie, en Bulgarie, en Chine, en Inde, aux Maldives, au Rwanda, en Arabie saoudite, en Turquie et en Ouganda. Le ciblage de l’Inde est important car l’acteur de menace était auparavant soupçonné d’être d’origine indienne.
“Il convient de noter que Sidewinder travaille constamment à améliorer ses ensembles d’outils, à rester en avance sur les détections de logiciels de sécurité, à étendre la persistance sur des réseaux compromis et à cacher sa présence sur des systèmes infectés”, les chercheurs Giampaolo Dedola et Vasily Berdnikov ditle décrivant comme un «adversaire très avancé et dangereux».
Sidewinder faisait auparavant l’objet d’une analyse approfondie de la société de cybersanie russe en octobre 2024, documentant l’utilisation par l’acteur de menace d’une boîte à outils post-exploitation modulaire appelée Stealerbot pour capturer un large éventail d’informations sensibles des hôtes compromis. Le ciblage par le groupe de piratage du secteur maritime a également été mis en évidence par Blackberry en juillet 2024.
Les dernières chaînes d’attaque s’alignent sur ce qui a été signalé auparavant, avec les e-mails de lance-phishing agissant comme un conduit pour livrer des documents piégés qui ont mis à profit une vulnérabilité de sécurité connue dans l’éditeur d’équation de Microsoft Office (CVE-2017-11882) afin d’activer une séquence multi-étages, qui à son tour, employait un téléchargeur .net nommé ModuleInstaller pour lancer finalement STEELERBOT.
Kaspersky a déclaré que certains des documents de leurre sont liés aux centrales nucléaires et aux agences d’énergie nucléaire, tandis que d’autres comprenaient du contenu faisant référence aux infrastructures maritimes et diverses autorités portuaires.
“Ils surveillent constamment les détections de leur ensemble d’outils par des solutions de sécurité”, a déclaré Kaspersky. “Une fois leurs outils identifiés, ils réagissent en générant une nouvelle version modifiée du malware, souvent en moins de cinq heures.”
“Si des détections comportementales se produisent, Sidewinder essaie de modifier les techniques utilisées pour maintenir la persistance et le chargement des composants. De plus, ils modifient les noms et les chemins de leurs fichiers malveillants.”




