サイドワインダーAPT
南アジア、東南アジア、アフリカ、中東の海運・物流企業は、SideWinder として知られる高度な持続的脅威 (APT) グループの主な標的となっています。2024 年に観測された最近のサイバー攻撃は、バングラデシュ、カンボジア、ジブチ、エジプト、アラブ首長国連邦、ベトナムの組織に影響を与えています。
サイドワインダーは海運業界以外にも、南アジアやアフリカの原子力発電所や原子力エネルギーインフラにも目を向けている。影響を受ける業界には、通信、コンサルティング、ITサービス、不動産会社、さらにはホテルなどのホスピタリティ業界も含まれる。
目次
外交上の標的とインドとのつながり
サイドワインダーは、攻撃範囲の顕著な拡大として、アフガニスタン、アルジェリア、ブルガリア、中国、インド、モルディブ、ルワンダ、サウジアラビア、トルコ、ウガンダの外交機関に対するサイバー攻撃も開始した。このグループが特にインドを標的にしていることは、脅威の主体がインド出身者かもしれないというこれまでの憶測を考慮すると、重要な意味を持つ。
常に進化し、捉えどころのない敵
SideWinder は継続的に進化していることで知られており、専門家はこれを「非常に高度で危険な敵」と表現しています。このグループは、ツールセットを継続的に強化し、セキュリティ ソフトウェアの検出を回避し、デジタル フットプリントを最小限に抑えながら、侵害されたネットワーク内での長期的な存続を確保しています。
StealerBot: 致命的なスパイツール
2024 年 10 月、サイバーセキュリティ研究者は SideWinder の詳細な分析を実施し、侵害されたシステムから機密データを抽出するために設計されたモジュール式のエクスプロイト後ツールキットである StealerBot を使用していることを明らかにしました。SideWinder の海運業界への関心は 2024 年 7 月にすでに文書化されており、その粘り強く集中的なアプローチが強調されています。
攻撃方法: スピアフィッシングとエクスプロイト
最近の攻撃は、おなじみのパターンをたどっています。スピアフィッシング メールが最初の感染経路となり、よく知られている Microsoft Office の脆弱性 (CVE-2017-11882) を悪用した危険な文書を運びます。これらの文書を開くと、多段階のシーケンスがトリガーされ、最終的に ModuleInstaller という .NET ダウンローダーが展開され、StealerBot が起動します。
研究者らは、おとり文書の多くが原子力機関、原子力発電所、海上インフラ、港湾当局に言及していることを確認しており、重要な産業を標的とする非常に戦略的なアプローチを示している。
セキュリティ対策を先取りするための適応
SideWinder は、マルウェアのセキュリティ検出を積極的に監視しています。ツールが特定されると、グループは迅速に新しい修正バージョンを開発します (場合によっては数時間以内)。セキュリティ ソリューションが動作を警告すると、永続化手法を変更し、ファイル名とパスを変更し、有害なコンポーネントの読み込み方法を調整することで対応します。
SideWinder は、攻撃手法を継続的に改良し、対抗手段を迅速に採用することで、世界中の主要産業に対する持続的かつ進化するサイバー脅威であり続けています。
