SideWinder APT
Les entreprises maritimes et logistiques d'Asie du Sud et du Sud-Est, d'Afrique et du Moyen-Orient sont devenues des cibles privilégiées d'un groupe de menaces persistantes avancées (APT) connu sous le nom de SideWinder. Les récentes cyberattaques observées en 2024 ont touché des organisations au Bangladesh, au Cambodge, à Djibouti, en Égypte, aux Émirats arabes unis et au Vietnam.
Au-delà du secteur maritime, SideWinder vise également les centrales nucléaires et les infrastructures nucléaires en Asie du Sud et en Afrique. Parmi les autres secteurs concernés figurent les télécommunications, le conseil, les services informatiques, les agences immobilières et même le secteur de l'hôtellerie.
Table des matières
Cibles diplomatiques et connexion indienne
Dans le cadre d'une expansion notable de son réseau d'attaques, SideWinder a également lancé des cyberopérations contre des entités diplomatiques en Afghanistan, en Algérie, en Bulgarie, en Chine, en Inde, aux Maldives, au Rwanda, en Arabie saoudite, en Turquie et en Ouganda. Le ciblage spécifique de l'Inde par le groupe est significatif, compte tenu des spéculations antérieures selon lesquelles l'acteur malveillant pourrait être d'origine indienne.
Un adversaire insaisissable et en constante évolution
SideWinder est connu pour son évolution constante, les experts le décrivant comme un « adversaire hautement avancé et dangereux ». Le groupe améliore constamment ses outils, échappe aux détections des logiciels de sécurité et assure une persistance à long terme au sein des réseaux compromis tout en minimisant son empreinte numérique.
StealerBot : un outil d'espionnage mortel
En octobre 2024, des chercheurs en cybersécurité ont mené une analyse approfondie de SideWinder, révélant son utilisation de StealerBot, une boîte à outils modulaire de post-exploitation conçue pour extraire des données sensibles des systèmes compromis. L'intérêt de SideWinder pour le secteur maritime avait déjà été documenté en juillet 2024, soulignant son approche persistante et ciblée.
La méthode d'attaque : Spear-phishing et exploits
Les dernières attaques suivent un schéma familier. Les e-mails de spear-phishing servent de vecteur d'infection initial, contenant des documents dangereux exploitant une vulnérabilité bien connue de Microsoft Office (CVE-2017-11882). Une fois ouverts, ces documents déclenchent une séquence en plusieurs étapes, déployant finalement un téléchargeur .NET nommé ModuleInstaller, qui lance à son tour StealerBot.
Les chercheurs ont confirmé que de nombreux documents de leurre font référence aux agences d’énergie nucléaire, aux centrales nucléaires, aux infrastructures maritimes et aux autorités portuaires, ce qui indique une approche hautement stratégique pour cibler les industries critiques.
S'adapter pour rester en avance sur les mesures de sécurité
SideWinder surveille activement les détections de sécurité de ses logiciels malveillants. Une fois ses outils identifiés, le groupe développe rapidement de nouvelles versions modifiées, parfois en quelques heures seulement. Si les solutions de sécurité détectent leur comportement, elles réagissent en modifiant les techniques de persistance, en changeant les noms et les chemins de fichiers et en ajustant le chargement des composants malveillants.
En perfectionnant continuellement ses méthodes d’attaque et en s’adaptant rapidement aux contre-mesures, SideWinder reste une cybermenace persistante et évolutive pour les industries clés du monde entier.
