卡巴斯基发现SideWinder高级持续性威胁转向以核基础设施为目标

卡巴斯基的研究人员发现，臭名昭著的高级持续性威胁（APT）组织SideWinder已将目标转向南亚的核电站设施，标志着其针对性间谍活动显著升级。与此同时，该威胁组织还将行动范围扩大到了非洲、东南亚和欧洲部分地区。

卡巴斯基全球研究与分析团队（GReAT）记录了来自 SideWinder 高级持续性威胁组织令人担忧的两方面威胁，该组织目前更加关注南亚的核电站和能源设施。该威胁组织在核领域的活动与在其传统活动区域之外的地理扩张同步进行。

SideWinder 至少从 2012 年就开始活跃，曾经攻击过政府、军事和外交实体。该组织已将其受害者范围扩大到包括东南亚的海事基础设施和物流公司，同时将目光投向核能领域的目标。卡巴斯基研究人员注意到，针对核电机构的攻击激增，这些攻击使用了鱼叉式网络钓鱼电子邮件和恶意文档，其中充满了特定行业的术语。

卡巴斯基追踪了 SideWinder 在 15 个国家和三大洲的活动，观察到该组织在将重点转向埃及之前，在吉布提发动了多次攻击，并在莫桑比克、奥地利、保加利亚、柬埔寨、印度尼西亚、菲律宾和越南展开了更多行动。阿富汗、阿尔及利亚、卢旺达、沙特阿拉伯、土耳其和乌干达的外交实体也成为目标，进一步表明SideWinder的活动已远远超出南亚范围。

“我们看到的不仅仅是地域扩张，更是 SideWinder 能力和野心的战略演变，”卡巴斯基全球研究与分析团队（GReAT）首席安全研究员Vasily Berdnikov表示：“他们能够在恶意软件被检测到后以惊人的速度部署更新的恶意软件变种，这使得威胁态势从被动反应转变为近乎实时的对抗。”

尽管 SideWinder 依赖于一个较早的 Microsoft Office 漏洞 (CVE-2017-11882)，但它利用对其工具集的快速修改来逃避检测。在对核基础设施进行攻击时，该组织精心制作了看似涉及监管或工厂特定事务的鱼叉式钓鱼邮件。一旦打开这些文档，就会启动一个利用链，攻击者可能借此获取核设施的运营数据、研究项目和人员详细信息。

卡巴斯基通过多层级安全防护来保护组织免受此类攻击，包括漏洞管理解决方案、早期攻击预防、具有自动化响应的实时威胁检测以及与 SideWinder 不断发展的恶意软件相一致的持续更新的检测规则。

有关SideWinder最新活动的技术分析全文，请参阅Securelist.com。

为了帮助组织保护其关键基础设施免遭复杂的针对性攻击，卡巴斯基安全专家建议采取以下措施：

• 实施全面的补丁管理。卡巴斯基漏洞评估和补丁管理提供自动化漏洞检测和补丁分发，以消除基础设施中的安全漏洞。

• 部署具有实时威胁检测能力的多层级安全解决方案。卡巴斯基Next XDR 专家安全利用机器学习技术聚合和关联来自多个来源的数据，以实现有效的威胁检测和对复杂攻击的自动响应。

• 定期为员工进行网络安全意识培训，特别注意识别复杂的鱼叉式钓鱼攻击。

关于全球研究与分析团队

全球研究与分析团队（GReAT）成立于 2008 年，是卡巴斯基的核心部门，负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前，GReAT 由 40 多名专家组成，他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用，他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。