Кибершпионская группировка SideWinder разработала новую тактику атак, отказавшись от известных уязвимостей Microsoft Word в пользу сложной цепочки заражения на основе PDF-файлов и технологии ClickOnce. Эта эволюция методов была зафиксирована в ходе кампании, начавшейся после 1 сентября 2025 года и направленной на дипломатические представительства и правительственные организации в Южной Азии с целью развертывания шпионского программного обеспечения.
С марта по сентябрь 2025 года SideWinder провела четыре волны целевых фишинговых атак. Основными целями стали европейское посольство в Нью-Дели, индийские посольства, а также множество организаций в Шри-Ланке, Пакистане и Бангладеш. Конечной целью злоумышленников была установка вредоносных программ ModuleInstaller и StealerBot для сбора конфиденциальной информации с зараженных систем.
Атака начинается с отправки фишингового письма с поддельного домена
При открытии вредоносного PDF-файла жертва видит нечитаемый документ и кнопку с предложением «загрузить и установить последнюю версию Adobe Reader» для просмотра содержимого. Этот элемент социальной инженерии убеждает пользователя инициировать загрузку вредоносного компонента, полагая, что он устанавливает легитимное обновление программного обеспечения.
Нажатие на кнопку запускает загрузку приложения ClickOnce с удаленного сервера, расположенного по адресу
После запуска
Библиотека
StealerBot, также разработанный на , является финальной полезной нагрузкой. Его функционал включает запуск обратной оболочки (reverse shell) для удаленного управления системой, доставку дополнительных вредоносных модулей, а также сбор широкого спектра конфиденциальных данных, включая скриншоты, нажатия клавиш, сохраненные пароли и файлы.
Для уклонения от обнаружения SideWinder применяет несколько сложных техник. Помимо использования подписанного ПО, группировка ограничивает доступ к своим командным серверам (C2) по географическому признаку, разрешая подключения только из регионов Южной Азии. Пути для загрузки вредоносных компонентов генерируются динамически, что затрудняет автоматизированный анализ и блокировку.
Впервые инструменты ModuleInstaller и StealerBot были задокументированы специалистами «Лаборатории Касперского» в октябре 2024 года в ходе атак на организации на Ближнем Востоке и в Африке. В мае 2025 года компания Acronis сообщила об использовании группировкой вредоносных документов для эксплуатации известных уязвимостей Microsoft Office с целью доставки StealerBot в правительственные учреждения Шри-Ланки, Бангладеша и Пакистана. Новейшая кампания была проанализирована исследователями компании Trellix, Эрнесто Фернандесом Провечо и Фам Дуй Фуком.
Изображение носит иллюстративный характер
С марта по сентябрь 2025 года SideWinder провела четыре волны целевых фишинговых атак. Основными целями стали европейское посольство в Нью-Дели, индийские посольства, а также множество организаций в Шри-Ланке, Пакистане и Бангладеш. Конечной целью злоумышленников была установка вредоносных программ ModuleInstaller и StealerBot для сбора конфиденциальной информации с зараженных систем.
Атака начинается с отправки фишингового письма с поддельного домена
mod.gov.bd.pk-mail[.]org, имитирующего домен Министерства обороны Пакистана. В письмах содержатся вложения, такие как "Inter-ministerial meeting Credentials.pdf" или "India-Pakistan Conflict -Strategic and Tactical Analysis of the May 2025.docx". Эти документы служат приманкой для запуска многоступенчатого процесса заражения. При открытии вредоносного PDF-файла жертва видит нечитаемый документ и кнопку с предложением «загрузить и установить последнюю версию Adobe Reader» для просмотра содержимого. Этот элемент социальной инженерии убеждает пользователя инициировать загрузку вредоносного компонента, полагая, что он устанавливает легитимное обновление программного обеспечения.
Нажатие на кнопку запускает загрузку приложения ClickOnce с удаленного сервера, расположенного по адресу
mofa-gov-bd.filenest[.]live. Загружаемый файл, ReaderConfiguration.exe, является подлинным исполняемым файлом с действительной цифровой подписью от компании MagTek Inc. Использование легитимного, подписанного ПО помогает атакующим обходить стандартные средства безопасности и антивирусные проверки. После запуска
ReaderConfiguration.exe на компьютере жертвы происходит атака типа DLL Sideloading. Легитимное приложение загружает вредоносную библиотеку DEVOBJ.dll, расположенную в том же каталоге. Одновременно пользователю демонстрируется фальшивый PDF-документ, чтобы отвлечь внимание и создать видимость нормальной работы. Библиотека
DEVOBJ.dll расшифровывает и запускает в памяти следующий компонент — загрузчик ModuleInstaller, написанный . Эта программа первого этапа собирает информацию об инфицированной системе, проводит ее профилирование и затем загружает основной шпионский имплант, известный как StealerBot. StealerBot, также разработанный на , является финальной полезной нагрузкой. Его функционал включает запуск обратной оболочки (reverse shell) для удаленного управления системой, доставку дополнительных вредоносных модулей, а также сбор широкого спектра конфиденциальных данных, включая скриншоты, нажатия клавиш, сохраненные пароли и файлы.
Для уклонения от обнаружения SideWinder применяет несколько сложных техник. Помимо использования подписанного ПО, группировка ограничивает доступ к своим командным серверам (C2) по географическому признаку, разрешая подключения только из регионов Южной Азии. Пути для загрузки вредоносных компонентов генерируются динамически, что затрудняет автоматизированный анализ и блокировку.
Впервые инструменты ModuleInstaller и StealerBot были задокументированы специалистами «Лаборатории Касперского» в октябре 2024 года в ходе атак на организации на Ближнем Востоке и в Африке. В мае 2025 года компания Acronis сообщила об использовании группировкой вредоносных документов для эксплуатации известных уязвимостей Microsoft Office с целью доставки StealerBot в правительственные учреждения Шри-Ланки, Бангладеша и Пакистана. Новейшая кампания была проанализирована исследователями компании Trellix, Эрнесто Фернандесом Провечо и Фам Дуй Фуком.
