SideWind APT

SideWind هو الاسم الذي تم تعيينه لمجموعة من المتسللين المتقدمين (APT) الذين أظهروا اهتمامًا دائمًا بمنطقة جنوب آسيا. تنخرط المجموعة حاليًا في حملة هجوم واسعة النطاق ضد أهداف في نفس المنطقة. وبشكل أكثر تحديدًا ، يحاول المتسللون اختراق الكيانات الموجودة بشكل رئيسي في نيبال وأفغانستان. وتشمل الأهداف المؤكدة الجيش النيبالي ووزارتي الدفاع والخارجية النيباليين ووزارة الدفاع السريلانكية ومجلس الأمن القومي الأفغاني والقصر الرئاسي في أفغانستان. في عملياتها ، تثبت SideWind APT القدرة على دمج الأحداث العالمية والقضايا السياسية الخاصة بمنطقة جنوب آسيا بسرعة في حملات التصيد والبرامج الضارة الخاصة بهم. استفادت المجموعة من جائحة COVID-19 في العديد من العمليات المهددة بالفعل ، في حين أن الحملة الأخيرة تتضمن أيضًا روابط لمقال بعنوان `` يجب على الهند أن تدرك أن الصين ليس لديها ما تفعله مع موقف نيبال من ليبوليخ '' ووثيقة بعنوان `` السفير يانشي ''. محادثة مع Nepali_Media.pdf. ' تحتوي الوثيقة على مقابلة مع السفير الصيني في نيبال بشأن COVID-19 ومبادرة الحزام والطريق والمسائل الإقليمية في منطقة هوملا.

سرقة بيانات الاعتماد ورسائل البريد الإلكتروني الاحتيالية

تتضمن عملية SideWind APT الجارية حاليًا العديد من نواقل الهجوم التي تهدف إلى تحقيق العديد من الأهداف المتميزة. أولاً ، أنشأت SideWind APT نسخًا مخادعة من صفحات تسجيل الدخول الفعلية بهدف جمع بيانات اعتماد المستخدمين المستهدفين. على سبيل المثال ، اكتشف باحثو إنفوسيك أن "mail-nepalgovnp.duckdns.org" تم إنشاؤه للتنكر على أنه المجال الشرعي للحكومة النيبالية الموجود على "mail.nepal.gov.np". بمجرد جمع بيانات الاعتماد ، يتم إعادة توجيه الضحايا إما إلى صفحات تسجيل الدخول الحقيقية أو إلى المستندات المذكورة سابقًا التي تناقش مشكلات الزر الساخن.

يتضمن الجانب الآخر من هجوم SideWind APT توزيع البرامج الضارة - تهديد من الباب الخلفي وجامع معلومات ، من خلال نشر رسائل البريد الإلكتروني المخادعة. تتضمن العدوى سلسلة هجوم معقدة تحتوي على مراحل متعددة وعدة قطارات. يمكن أن يتبع الهجوم سيناريوهين مختلفين:

  • التسليم الأولي لملف .lnk الذي يقوم بتنزيل ملف .rtf وملف JavaScript
  • التسليم الأولي لأرشيف .zip يحتوي على ملف .lnk مهدد. يبدأ ملف .lnk المرحلة التالية من الهجوم عن طريق جلب ملف .hta مع JavaScript

تستغل ملفات .rtf الثغرة الأمنية CVE-2017-11882 ، والتي تسمح لممثل التهديد بتشغيل رمز تهديد عشوائي على الجهاز دون الحاجة إلى أي تدخل من المستخدم. على الرغم من أن هذا الاستغلال المحدد قد تم إصلاحه في عام 2017 ، لا يزال مجرمو الإنترنت يستخدمونه لأنه يمكن أن يؤثر على أي إصدار غير مصحح من Microsoft Office و Microsoft Windows وأنواع البنية التي تعود إلى عام 2000.

ومع ذلك ، في كلتا حالتي الهجوم ، يتم تحقيق الهدف النهائي من خلال ملفات JavaScript التي تعمل كقطارة لحمولات البرامج الضارة الفعلية.

عند نشرها بالكامل ، يمكن لأدوات التهديد الخاصة بـ SideWind APT أن تجمع أنواعًا مختلفة من المعلومات ، بالإضافة إلى إخراج الملفات المحددة إلى البنية التحتية للقيادة والتحكم (C2 ، C&C) الخاصة بالمجموعة. تتضمن البيانات المجمعة تفاصيل حساب المستخدم ومعلومات النظام والعمليات الجارية وتفاصيل وحدة المعالجة المركزية وتفاصيل نظام التشغيل وتفاصيل الشبكة وبرامج مكافحة الفيروسات المثبتة والامتيازات وتفاصيل جميع محركات الأقراص المتصلة والتطبيقات المثبتة. يسرد تهديد جامع البيانات أيضًا جميع الأدلة في أربعة مواقع محددة:

  • المستخدمون \٪ USERNAME٪ \ سطح المكتب ،
  • المستخدمون \٪ USERNAME٪ \ التنزيلات ،
  • المستخدمون \٪ USERNAME٪ \ المستندات ،
  • المستخدمون \٪ USERNAME٪ \ جهات الاتصال

حملة المحمول قيد الإنشاء

لدى SideWind APT أيضًا حملة هجوم في الأعمال التي ستستهدف أجهزة المستخدمين المحمولة. تم بالفعل اكتشاف العديد من التطبيقات ، وجميعها في حالة غير مكتملة. لم يحتوي بعضها على رمز تهديد حتى الآن ولكن تم تصميمه ليبدو شرعيًا قدر الإمكان. يُطلق على أحد هذه التطبيقات اسم "OpinionPoll" ويتظاهر بأنه تطبيق استطلاع لجمع الآراء حول النزاع السياسي بين نيبال والهند. التطبيقات الأخرى لديها قدرات تهديد مطبقة بالفعل ولكنها لا تزال تظهر دلائل على أن هناك حاجة إلى مزيد من العمل قبل الانتهاء منها.

هذه ليست المرة الأولى التي تستخدم فيها SideWind APT أدوات البرمجيات الخبيثة المحمولة في أنشطتها. في السابق ، تمت ملاحظتهم لنشر تطبيقات تهديد تتظاهر بأنهم مدير ملفات لأدوات التصوير. بمجرد قيام المستخدم بتنزيلها ، استفادت تطبيقات SideWind APT من استغلال CVE-2019-2215 وثغرات ضعف MediaTek-SU للحصول على امتيازات الجذر على الجهاز المخترق.

الشائع

الأكثر مشاهدة

جار التحميل...