گروه تهدید پیشرفته (APT)و مستمر موسوم به SideWinder در سال ۲۰۲۴ حملات پیچیده‌ای را علیه شرکت‌های دریایی، لجستیکی، نیروگاه‌های هسته‌ای و شرکت‌های فناوری اطلاعات در آسیا، خاورمیانه و آفریقا اجرا کرده است.

گسترش حملات به کشورهای مختلف

براساس گزارش ، این حملات در کشورهای بنگلادش، کامبوج، جیبوتی، مصر، امارات متحده عربی و ویتنام شناسایی شده است. نیروگاه‌های هسته‌ای و زیرساخت‌های انرژی هسته‌ای در آسیای جنوبی و آفریقا نیز از جمله اهداف کلیدی این گروه بوده‌اند. سایر بخش‌های هدف شامل شرکت‌های مخابراتی، مشاوره‌ای، ارائه‌دهندگان خدمات IT، آژانس‌های املاک و هتل‌ها می‌شود.

📌 علاوه بر این، SideWinder دامنه حملات خود را گسترش داده و نهادهای دیپلماتیک را در افغانستان، الجزایر، بلغارستان، چین، هند، مالدیو، رواندا، عربستان سعودی، ترکیه و اوگاندا هدف قرار داده است.

نکته مهم: هدف قرار گرفتن هند قابل‌توجه است، زیرا در گذشته منشأ این گروه به هند نسبت داده شده بود.

روش‌های پیشرفته و تطبیقی SideWinder

🔹 پیشرفت مداوم در ابزارهای نفوذ: محققان ، Giampaolo Dedola و Vasily Berdnikov، این گروه را یک بازیگر سایبری بسیار پیشرفته و خطرناک توصیف کرده‌اند که به‌طور مداوم ابزارهای خود را ارتقا می‌دهد، شناسایی توسط نرم‌افزارهای امنیتی را دور می‌زند، و حضور خود را در شبکه‌های آلوده پنهان می‌کند.

🔹 ابزارهای مورد استفاده: تحلیل‌های گذشته نشان داده‌اند که SideWinder از یک ابزار پس‌استثمار ماژولار به نام StealerBot برای جمع‌آوری اطلاعات حساس از سیستم‌های آلوده استفاده می‌کند. حملات این گروه به صنعت دریایی در گزارشی از BlackBerry در جولای ۲۰۲۴ نیز تأیید شده بود.

زنجیره حمله: استفاده از Spear-Phishing و سوءاستفاده از آسیب‌پذیری‌های قدیمی

🛑 روش‌های حمله SideWinder مطابق با الگوهای قبلی است:

1️⃣   ارسال ایمیل‌های Spear-Phishing حاوی اسناد آلوده
2️⃣   بهره‌برداری از آسیب‌پذیری شناخته‌شده Microsoft Office Equation Editor (CVE-2017-11882)
3️⃣   اجرای یک توالی چندمرحله‌ای برای دانلود بدافزار اصلی
4️⃣   استفاده از یک دانلودر .NET به نام ModuleInstaller برای اجرای نهایی StealerBot

📌 برخی از اسناد فریبنده حاوی اطلاعات مربوط به نیروگاه‌های هسته‌ای و آژانس‌های انرژی هسته‌ای بوده‌اند. سایر اسناد نیز به زیرساخت‌های دریایی و مقامات بندری اشاره داشته‌اند.

واکنش سریع به شناسایی بدافزار

🔹 SideWinder نظارت دائمی بر شناسایی ابزارهای خود توسط نرم‌افزارهای امنیتی دارد. به‌محض اینکه یک ابزار شناسایی شود، آن‌ها در کمتر از پنج ساعت نسخه جدید و تغییر‌یافته‌ای از بدافزار را منتشر می‌کنند.

🔹 در صورت تشخیص رفتاری، این گروه تاکتیک‌های خود را تغییر می‌دهد تا ماندگاری خود را در سیستم حفظ کند. همچنین نام و مسیر فایل‌های مخرب خود را تغییر می‌دهند تا شناسایی آن‌ها سخت‌تر شود.

چطور با تهدیدات APT SideWinder مقابله کنیم؟

برای محافظت در برابر حملات پیشرفته‌ای مانند SideWinder، سازمان‌ها باید یک رویکرد چندلایه امنیتی را اتخاذ کنند. در اینجا چند اقدام کلیدی برای کاهش خطر این تهدید ارائه شده است:

۱. آموزش و آگاهی کارکنان

📌 حملات فیشینگ هنوز هم مهم‌ترین روش نفوذ مهاجمان است. بنابراین، آموزش کارکنان در مورد ایمیل‌های مشکوک، لینک‌های آلوده و پیوست‌های غیرمنتظره ضروری است.
✅ شبیه‌سازی حملات فیشینگ می‌تواند به افزایش هوشیاری کارکنان کمک کند.

۲. به‌روزرسانی و اصلاح آسیب‌پذیری‌ها

🔹 مهاجمان SideWinder از آسیب‌پذیری‌های شناخته‌شده مانند CVE-2017-11882 سوءاستفاده می‌کنند.
✅ سازمان‌ها باید به‌طور منظم سیستم‌عامل، نرم‌افزارها و برنامه‌های سازمانی خود را به‌روز نگه دارند و اصلاحیه‌های امنیتی را بدون تأخیر اعمال کنند.

۳. استفاده از راهکارهای امنیتی پیشرفته

📌 راهکارهای امنیتی مدرن می‌توانند حملات APT را شناسایی و متوقف کنند.
✅ سیستم‌های EDR (تشخیص و پاسخ نقطه پایانی) برای تحلیل رفتار مشکوک و جلوگیری از نفوذ
✅ فایروال‌های نسل جدید (NGFW) برای کنترل دسترسی و جلوگیری از حملات تحت وب
✅ راهکارهای SIEM مانند Splunk یا ELK برای تحلیل لاگ‌ها و شناسایی الگوهای حمله

۴. کنترل دسترسی و احراز هویت چندمرحله‌ای (MFA)

🔹 مهاجمان سعی می‌کنند اطلاعات ورود کاربران را سرقت کنند.
✅ MFA را برای تمام حساب‌های حساس فعال کنید تا در صورت افشای رمز عبور، امنیت حساب حفظ شود.
✅ حداقل سطح دسترسی را برای کاربران تعیین کنید تا هر فرد فقط به اطلاعات ضروری دسترسی داشته باشد.

۵. نظارت و پاسخ به تهدیدات (Threat Intelligence & Incident Response)

🔹 گروه SideWinder به‌طور مداوم ابزارهای خود را تغییر می‌دهد.
✅ استفاده از اطلاعات تهدیدات (Threat Intelligence) برای شناسایی جدیدترین روش‌های حمله
✅ ایجاد یک تیم واکنش سریع (CSIRT) برای مدیریت رخدادهای امنیتی و پاسخگویی سریع در صورت نفوذ

۶. محافظت از ایمیل‌ها و پیوست‌های آلوده

📌 حملات SideWinder از ایمیل‌های فیشینگ برای توزیع بدافزار استفاده می‌کنند.
✅ استفاده از فیلترهای پیشرفته ایمیل برای شناسایی پیوست‌های مشکوک و لینک‌های مخرب
✅ غیرفعال کردن ماکروها در Microsoft Office برای جلوگیری از اجرای خودکار بدافزار

نتیجه‌گیری

SideWinder یکی از پیچیده‌ترین تهدیدات سایبری فعال در سال ۲۰۲۴ است. این گروه نه‌تنها زیرساخت‌های کلیدی از جمله نیروگاه‌های هسته‌ای و بنادر را هدف قرار داده است، بلکه با تغییر مداوم ابزارهای خود، روند مقابله با آن‌ها را دشوارتر می‌کند.

✅ سازمان‌ها و شرکت‌های فعال در صنایع هدف، باید فوراً تمهیدات امنیتی لازم را اتخاذ کرده و روش‌های دفاعی خود را به‌روز کنند. آیا سازمان شما در برابر این تهدید ایمن است؟ 🔐💻

برای به‌روز ماندن در اخبار امنیت شبکه و شناسایی تهدیدهای جدید، ما را دنبال کنید.