Шпионаж по дешёвке. Как взломать оборонку, не потратив ни рубля на аренду серверов
NewsMakerПростая приманка открывает доступ к даже самым закрытым базам.
Группировка SideWinder заметно изменила подход к атакам и отказалась от привычной инфраструктуры. Вместо аренды серверов злоумышленники развернули масштабную операцию на базе легитимных облачных платформ, где маскируются под обычные сервисы. Такая схема позволила незаметно атаковать военные и государственные структуры Южной Азии и при этом почти не оставлять следов.
По данным Breakglass Intelligence, новая вредоносная кампания охватила двадцать узлов и восемь PaaS-платформ, среди которых Zeabur, Leapcell, Railway, Cloudflare Workers, Replit и Back4App. Дополнительно применялись сервисы сокращения ссылок short.gy и tinyurl.cx. Вся инфраструктура работала на бесплатных тарифах, без регистрации собственных доменов и аренды серверов. После блокировки одного узла злоумышленники быстро разворачивали новый, что сильно осложняет защиту.
Главная особенность операции — двойной сбор учётных данных. Атака начиналась с приманки в виде PDF-документа на тему оборонных контрактов. После загрузки жертва попадала на страницу с задержкой, затем открывалась поддельная веб-почта Zimbra , замаскированная под ВМС Бангладеш. После ввода пароля система показывала ошибку и перенаправляла на ещё одну страницу, уже имитирующую почту ВВС Пакистана. В результате один и тот же пароль вводился дважды, но попадал в разные формы сбора данных.
Такой сценарий рассчитан на сотрудников, которые взаимодействуют сразу с несколькими военными структурами. В числе целей оказались оборонные подрядчики, телеком-компании и государственные организации Пакистана и Бангладеш. Среди подтверждённых жертв — координатор проекта из компании Margalla Heavy Industries, связанной с военным машиностроением.
Группировка SideWinder заметно изменила подход к атакам и отказалась от привычной инфраструктуры. Вместо аренды серверов злоумышленники развернули масштабную операцию на базе легитимных облачных платформ, где маскируются под обычные сервисы. Такая схема позволила незаметно атаковать военные и государственные структуры Южной Азии и при этом почти не оставлять следов.
По данным Breakglass Intelligence, новая вредоносная кампания охватила двадцать узлов и восемь PaaS-платформ, среди которых Zeabur, Leapcell, Railway, Cloudflare Workers, Replit и Back4App. Дополнительно применялись сервисы сокращения ссылок short.gy и tinyurl.cx. Вся инфраструктура работала на бесплатных тарифах, без регистрации собственных доменов и аренды серверов. После блокировки одного узла злоумышленники быстро разворачивали новый, что сильно осложняет защиту.
Главная особенность операции — двойной сбор учётных данных. Атака начиналась с приманки в виде PDF-документа на тему оборонных контрактов. После загрузки жертва попадала на страницу с задержкой, затем открывалась поддельная веб-почта Zimbra , замаскированная под ВМС Бангладеш. После ввода пароля система показывала ошибку и перенаправляла на ещё одну страницу, уже имитирующую почту ВВС Пакистана. В результате один и тот же пароль вводился дважды, но попадал в разные формы сбора данных.
Такой сценарий рассчитан на сотрудников, которые взаимодействуют сразу с несколькими военными структурами. В числе целей оказались оборонные подрядчики, телеком-компании и государственные организации Пакистана и Бангладеш. Среди подтверждённых жертв — координатор проекта из компании Margalla Heavy Industries, связанной с военным машиностроением.