Source: https://thehackernews.com/2025/10/sidewinder-adopts-new-clickonce-based.html
🛡 概要
2025年9月、インドのニューデリーに所在する欧州大使館やスリランカ、パキスタン、バングラデシュの複数の組織が、サイバー攻撃者「SideWinder」による新たな攻撃キャンペーンの標的となりました。この活動は、特に新しいPDFおよびClickOnceベースの感染チェーンの採用が見られ、以前に文書化されていたMicrosoft Wordの脆弱性を利用した攻撃手法が進化していることを示しています。Trellixの研究者によると、これらの攻撃は、スピアフィッシングメールを通じて実施され、機密情報を収集するためにモジュールインストーラーやスティーラーボットといったマルウェアを展開します。
🔍 技術詳細
SideWinderの攻撃は、2025年3月から9月にかけて4回に分けて行われました。モジュールインストーラーは次段階のペイロードをダウンロードする役割を果たし、スティーラーボットはリバースシェルを起動し、スクリーンショットやキーストローク、パスワード、ファイルなどのデータを収集します。これらのマルウェアは、2024年10月にカスペルスキーによって初めて公開され、その後も様々な攻撃に利用されています。最近の攻撃では、PDFファイルやWord文書を用いたフィッシングメールが使用され、攻撃者は「mod.gov.bd.pk-mail[.]org」ドメインから送信し、パキスタン国防省を模倣しています。最初の感染ベクターは、視覚的に認識できないPDFファイルやエクスプロイトを含むWord文書です。
⚠ 影響
この攻撃は、特に南アジアの外交機関に対する脅威を増大させています。SideWinderの巧妙な手法は、特定の外交的ターゲットに対して高度に特化した誘引を作成する適応力を示しており、地政学的文脈に対する深い理解を反映しています。クリックワンスアプリケーションを利用した攻撃は、実際のアプリケーションを偽装することで、セキュリティの警告を回避する巧妙さを持っています。このような攻撃により、国家機関や外交団体の機密情報が漏洩する危険性が高まります。
🛠 対策
このような攻撃から身を守るためには、セキュリティ対策を強化することが不可欠です。具体的には、フィッシングメールの検出能力を向上させるためのトレーニングや、マルウェア検出ソフトウェアの導入が推奨されます。また、アプリケーションの更新を定期的に行い、既知の脆弱性に対処することも重要です。ユーザーには、信頼できない送信者からのメールに注意し、添付ファイルやリンクを安易に開かないよう教育することが求められます。さらに、ネットワークの監視を強化し、異常な活動を早期に検出する体制を整えることが重要です。
