Работает даже при белом списке
Image

MAX. SecurityLab. Белый список. Ваш сисадмин ничего не запретит — и это его будет бесить

Мы пишем про взломы, утечки и катастрофы — и делаем это лучше всех. Скромно, но это правда. Проверьте сами, вам несложно.

Шпионаж по дешёвке. Как взломать оборонку, не потратив ни рубля на аренду серверов

14493
SideWinder PaaS Zeabur Margalla Heavy Industries Zimbra кибершпионаж фишинг
Шпионаж по дешёвке. Как взломать оборонку, не потратив ни рубля на аренду серверов
SideWinder PaaS Zeabur Margalla Heavy Industries Zimbra кибершпионаж фишинг

Простая приманка открывает доступ к даже самым закрытым базам.

image

Группировка SideWinder заметно изменила подход к атакам и отказалась от привычной инфраструктуры. Вместо аренды серверов злоумышленники развернули масштабную операцию на базе легитимных облачных платформ, где маскируются под обычные сервисы. Такая схема позволила незаметно атаковать военные и государственные структуры Южной Азии и при этом почти не оставлять следов.

По данным Breakglass Intelligence, новая вредоносная кампания охватила двадцать узлов и восемь PaaS-платформ, среди которых Zeabur, Leapcell, Railway, Cloudflare Workers, Replit и Back4App. Дополнительно применялись сервисы сокращения ссылок short.gy и tinyurl.cx. Вся инфраструктура работала на бесплатных тарифах, без регистрации собственных доменов и аренды серверов. После блокировки одного узла злоумышленники быстро разворачивали новый, что сильно осложняет защиту.

Главная особенность операции — двойной сбор учётных данных. Атака начиналась с приманки в виде PDF-документа на тему оборонных контрактов. После загрузки жертва попадала на страницу с задержкой, затем открывалась поддельная веб-почта Zimbra, замаскированная под ВМС Бангладеш. После ввода пароля система показывала ошибку и перенаправляла на ещё одну страницу, уже имитирующую почту ВВС Пакистана. В результате один и тот же пароль вводился дважды, но попадал в разные формы сбора данных.

Такой сценарий рассчитан на сотрудников, которые взаимодействуют сразу с несколькими военными структурами. В числе целей оказались оборонные подрядчики, телеком-компании и государственные организации Пакистана и Бангладеш. Среди подтверждённых жертв — координатор проекта из компании Margalla Heavy Industries, связанной с военным машиностроением.

Отдельное внимание привлёк повторяющийся параметр в URL-адресах. Во всех выявленных фишинговых ссылках использовалась одна и та же строка из 35 символов. Параметр оставался неизменным на протяжении пяти месяцев и стал удобным индикатором для обнаружения активности группы.

Несмотря на публикацию отчёта, часть инфраструктуры продолжает работать. Как минимум два фишинговых сайта, размещённых на Zeabur, остаются активными и продолжают собирать данные.

Аналитики отмечают, что SideWinder фактически перешла к LotL-модели, используя легитимные облачные сервисы вместо собственной инфраструктуры. Такой подход снижает стоимость атак и усложняет их пресечение, поскольку блокировка требует взаимодействия с множеством провайдеров.