Nhóm APT SideWinder đã gia tăng đáng kể các hoạt động thu thập thông tin đăng nhập trên khắp Nam Á. Chúng triển khai các chiến dịch lừa đảo tinh vi nhắm vào các tổ chức chính phủ, quốc phòng và cơ sở hạ tầng trọng yếu thông qua các cổng webmail giả mạo. Chiến dịch này đại diện cho một mối đe dọa mạng leo thang đáng kể so với các hoạt động trước đó của nhóm vào tháng 8 năm 2024.

Ban đầu, nhóm tập trung vào 14 trang web độc hại được lưu trữ trên các nền tảng Netlify và pages.dev. Những kẻ tấn công đã thể hiện sự kiên trì đáng kể, duy trì các hoạt động lừa đảo tích cực trong hơn tám tháng. Chúng liên tục điều chỉnh chiến thuật để né tránh sự phát hiện của các hệ thống an ninh.

SideWinder APT: Mối Đe Dọa Mạng Chuyên Sâu ở Nam Á

Các nhà nghiên cứu bảo mật tại Hunt.io đã phát hiện một hạ tầng lừa đảo mở rộng do SideWinder vận hành. Hơn 100 tên miền đã được xác định nhắm mục tiêu vào các tổ chức chính phủ ở Pakistan, Nepal, Bangladesh, Sri Lanka và Myanmar. Chi tiết nghiên cứu có thể tham khảo tại báo cáo Operation SouthNet của Hunt.io.

Nhà nghiên cứu bảo mật “Demon” đóng vai trò quan trọng trong việc theo dõi các hoạt động của nhóm. Ông đã xác định các cuộc tấn công mạng chống lại các mục tiêu có giá trị cao. Các mục tiêu này bao gồm Chính phủ Pakistan, Hải quân Pakistan và Hải quân Sri Lanka.

Kỹ thuật Thu thập Thông tin Đăng nhập

Chiến dịch hiện tại của SideWinder sử dụng phương pháp tiếp cận đa diện để thu thập thông tin đăng nhập. Nhóm này chủ yếu tập trung vào các trang đăng nhập webmail Outlook Web App và Zimbra giả mạo.

Nhóm đã thành công trong việc thỏa hiệp hạ tầng trên nhiều nền tảng lưu trữ miễn phí. Các nền tảng này bao gồm Netlify, Cloudflare Pages và Back4App. Mục đích là để lưu trữ các cổng độc hại của chúng.

Mục tiêu Đặc biệt theo Quốc gia

Tại Bangladesh, nhóm đặc biệt nhắm mục tiêu vào Tổng cục Mua sắm Quốc phòng (DGDP). Chúng sử dụng các cổng “tệp bảo mật” giả mạo. Các cổng này bắt chước các hệ thống mua sắm quốc phòng chính thức. Những mồi nhử tinh vi này lừa các quan chức tin rằng họ đang truy cập các tài liệu quốc phòng hợp pháp, trong khi thu thập thông tin đăng nhập của họ. Đây là một hình thức rò rỉ dữ liệu nhạy cảm.

Nepal đã trở thành mục tiêu chính, với Hunt.io xác định 17 cổng lừa đảo đang hoạt động từ tháng 5 đến tháng 9 năm 2024. Khoảng 70% các hoạt động này giả mạo các hệ thống webmail chính phủ tập trung. Số còn lại sử dụng các tài liệu có chủ đề chính trị làm mồi nhử.

Nhóm này đã thể hiện sự quan tâm đặc biệt đến việc khai thác căng thẳng chính trị. Chúng sử dụng các tài liệu liên quan đến chuyến thăm Trung Quốc của Thủ tướng và các dự thảo chính sách AI quốc gia. Đây là một dấu hiệu của mối đe dọa mạng có tính mục tiêu cao.

Hạ tầng Tấn công và IOCs của SideWinder

Cuộc điều tra cho thấy sự chồng chéo hạ tầng rộng rãi giữa các chiến dịch cụ thể theo quốc gia khác nhau. Ngân hàng Trung ương Myanmar đã bị nhắm mục tiêu thông qua các cổng Zimbra giả mạo. Thông tin đăng nhập bị đánh cắp được chuyển đến cùng các máy chủ thu thập được sử dụng trong các hoạt động chống lại các mục tiêu khu vực khác. Cách tiếp cận hạ tầng dùng chung này cho thấy hiệu quả hoạt động và tối ưu hóa tài nguyên của nhóm, thể hiện sự nguy hiểm của mối đe dọa mạng này.

Một truy vấn HuntSQL™ được thiết kế để trích xuất tất cả các URL chứa tên miền .govmm sau ngày 1 tháng 1 năm 2025. Phân tích này đã tiết lộ 13 URL duy nhất liên quan đến hạ tầng govmm.org.

SELECT DISTINCT url
FROM events
WHERE timestamp >= '2025-01-01T00:00:00Z'
AND url LIKE '%.govmm%'

Pakistan đối mặt với sự nhắm mục tiêu đặc biệt gắt gao. SideWinder mạo danh các tổ chức quan trọng bao gồm Ủy ban Nghiên cứu Không gian & Tầng trên (SUPARCO), Cơ quan Sân bay Pakistan và Tổng công ty Viễn thông Quốc gia. Nhóm sử dụng các bộ công cụ lừa đảo dựa trên JavaScript tinh vi. Các bộ công cụ này mã hóa địa chỉ email của nạn nhân ở định dạng Base64 để theo dõi và quản lý phiên. Điều này cho phép chúng chiếm quyền điều khiển tài khoản người dùng.

Các Chỉ báo Thỏa hiệp (IOCs)

Ngoài lừa đảo truyền thống, SideWinder duy trì các thư mục mở lưu trữ các tệp thực thi độc hại và các tệp mồi nhử. Chúng có trọng tâm rõ ràng vào lĩnh vực hàng hải. Các nhà nghiên cứu đã xác định các điểm cuối command-and-control (C2) bị lộ tại themegaprovider.ddns.net và gwadarport.ddns.net. Các C2 này lưu trữ hơn 40 mẫu mã độc khác nhau nhắm mục tiêu vào các hoạt động hàng hải của Pakistan và Sri Lanka.

Địa chỉ IP thứ ba, 46.183.184.245, đóng vai trò quan trọng trong việc phân bổ. Ngoài govmm[.]org, IP này còn liên kết với hai tên miền khác: govnp[.]org và andc[.]govaf[.]org.

• C2 Endpoints:
  • themegaprovider.ddns.net
  • gwadarport.ddns.net
• Địa chỉ IP liên quan:
  • 46.183.184.245
• Tên miền liên kết với IP 46.183.184.245:
  • govmm[.]org
  • govnp[.]org
  • andc[.]govaf[.]org

Sự tinh vi về mặt kỹ thuật của nhóm còn mở rộng đến việc sử dụng các mã thông báo CSRF (Cross-Site Request Forgery) được mã hóa cứng để theo dõi phiên. Nhóm cũng triển khai các cơ chế chuyển hướng đa tầng để làm xáo trộn luồng lừa đảo của chúng. Đây là một mối đe dọa mạng cần được cảnh giác.

Mở rộng Phạm vi và Khuyến nghị Phòng ngừa

Phạm vi của chiến dịch mở rộng ra ngoài Nam Á, với các cuộc tấn công lan tỏa được xác định chống lại Bộ Nhân lực Singapore. Điều này cho thấy khả năng mở rộng phạm vi hoạt động của SideWinder. Đây là một mối đe dọa mạng không chỉ giới hạn trong một khu vực.

Khả năng của nhóm trong việc duy trì quyền truy cập liên tục trong khi nhanh chóng thay đổi tên miền đặt ra những thách thức đáng kể cho các biện pháp bảo mật truyền thống.

Biện pháp Đối phó Mối Đe Dọa Mạng

Các chuyên gia bảo mật khuyến nghị giám sát chủ động các nền tảng lưu trữ miễn phí. Đồng thời, cần tăng cường lọc email và hợp tác an ninh mạng khu vực để đối phó hiệu quả với mối đe dọa mạng dai dẳng này.

Để bảo vệ hệ thống khỏi những tấn công mạng như vậy, việc cập nhật liên tục các bản vá bảo mật và áp dụng các giải pháp phát hiện xâm nhập là cực kỳ cần thiết. Các tổ chức nên thực hiện các chương trình đào tạo nâng cao nhận thức về an toàn thông tin cho nhân viên.

Việc triển khai các giải pháp an ninh mạng toàn diện, bao gồm kiểm soát truy cập mạnh mẽ và xác thực đa yếu tố, sẽ giảm thiểu nguy cơ rò rỉ dữ liệu và việc chiếm quyền điều khiển hệ thống.