SideWinder ist seit mindestens 2012 aktiv


APT-Gruppe SideWinder zielt nun auf Atomkraftwerke ab
APT-Gruppe expandiert Angriffe in neue Regionen und auf neue Ziele - Auch Unternehmen in Österreich von SideWinder-Angriffen betroffen


Laut aktuellen Analysen von Kaspersky hat die berüchtigte Advanced Persistent Threat (APT)-Gruppe SideWinder ihre Angriffsstrategien angepasst und ihre geografischen Ziele ausgeweitet. Im Rahmen der jüngsten Spionagekampagne richtet sich SideWinder nun auch gegen Atomkraftwerke und Energieeinrichtungen. Betroffene Unternehmen finden sich überwiegend in Afrika und Südostasien, aber auch in Teilen Europas, darunter Österreich.

SideWinder ist seit mindestens 2012 aktiv und hatte bislang vor allem Regierungs-, Militär- und diplomatische Einrichtungen im Visier. Nun richten sich die Angriffe der Gruppe jedoch auch gegen maritime Infrastruktur- und Logistikunternehmen in ganz Südostasien, während sie gleichzeitig den Nuklearsektor ins Visier nimmt. Die Kaspersky-Experten verzeichneten jüngst einen Anstieg der Angriffe auf Atom- und Energieerzeugungsanlagen, bei denen Spear-Phishing-E-Mails und schädliche Dokumente mit branchenspezifischer Terminologie eingesetzt werden. Dabei nutzen die Angreifer regulatorische und anlagenspezifische Themen als Köder.

SideWinder nutzt für die aktuellen Angriffe eine ältere Microsoft-Office-Sicherheitslücke (CVE-2017-11882) aus, ist jedoch in der Lage, schnell Anpassungen an seinem Toolset vorzunehmen, um einer Erkennung zu entgehen. Sobald die betroffenen Dokumente geöffnet werden, wird eine Angriffskette ausgelöst, die es den Angreifern ermöglicht, auf Betriebsdaten, Forschungsprojekte und Personaldaten von Kernkraftwerken zuzugreifen.

"Wir sehen nicht nur eine geografische Expansion, sondern auch eine strategische Weiterentwicklung der Fähigkeiten und Ambitionen von SideWinder", erklärt Vasily Berdnikov, Lead Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. "Die Gruppe kann nach einer Erkennung aktualisierte Malware-Varianten mit einer bemerkenswerten Geschwindigkeit einsetzen und verändert damit die Bedrohungslandschaft enorm. Statt einer reaktiven Bekämpfung wird dadurch eine nahezu in Echtzeit stattfindende Reaktion nötig."

Kaspersky beobachtete Aktivitäten von SideWinder in 15 Ländern, darunter zahlreiche Angriffe in Dschibuti, bevor die Gruppe ihren Fokus auf Ägypten verlagerte und zusätzliche Angriffe in Mosambik, Österreich, Bulgarien, Kambodscha, Indonesien, den Philippinen und Vietnam startete. Auch diplomatische Vertretungen in Afghanistan, Algerien, Ruanda, Saudi-Arabien, der Türkei und Uganda wurden ins Visier genommen. Dies verdeutlicht SideWinders Expansionskurs weit über Südasien hinaus. (Kaspersky Lab: ra)

eingetragen: 05.05.25

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Fünfundzwanzig SAP-Sicherheitshinweise RisePro eine wachsende Bedrohung

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen