Открой документ — отдай всё: как старые дырки в Office до сих пор помогают шпионить за министерствами

Группа SideWinder развернула новую кибершпионскую кампанию против госструктур в Южной Азии — под удар попали ведомства Шри-Ланки, Бангладеш и Пакистана. По данным компании Acronis, атаки начались с фишинговых писем с вредоносными документами, которые срабатывали только у получателей из нужных стран — в остальных случаях открывался пустой файл.

Для заражения использовались уязвимости в Microsoft Office, давно известные, но всё ещё актуальные — CVE-2017-0199 и CVE-2017-11882 . Открытие документа активировало загрузку StealerBot — вредоноса на .NET, способного собирать скриншоты, ввод с клавиатуры, пароли, файлы и передавать управление атакующему через обратный шелл. Распространялся он через подмену библиотек DLL, что затрудняет его обнаружение.

Целями стали министерства обороны, финансов, центробанки и телеком-регуляторы. Геофильтрация атак и строгое ограничение активности по времени говорят о продуманной и точечной тактике. SideWinder продолжает действовать с высокой регулярностью, избегая долгих пауз, что указывает на устойчивую структуру и стабильную мотивацию.

Аналогичную активность данной группы ранее фиксировали специалисты «Лаборатории Касперского», что подтверждает преемственность подхода и стабильность инструментария. Несмотря на возраст эксплойтов, атаки по-прежнему эффективны — уязвимые системы остаются без обновлений, а злоумышленники этим пользуются.