SideWind APT

SideWind е името, присвоено на група хакери за напреднали постоянни заплахи (APT), които са показали траен интерес към региона на Южна Азия. В момента групата участва в широкообхватна атака срещу цели в същия регион. По-конкретно, хакерите се опитват да компрометират организации, разположени главно в Непал и Афганистан. Потвърдените цели включват непалската армия, непалските министерства на отбраната и външните работи, министерството на отбраната на Шри Ланка, Съвета за национална сигурност на Афганистан и президентския дворец в Афганистан. В своите операции SideWind APT демонстрира способността бързо да включва глобални събития и политически проблеми, специфични за региона на Южна Азия, в своите кампании за фишинг и злонамерен софтуер. Групата вече се е възползвала от пандемията COVID-19 в няколко заплашителни операции, докато последната кампания включва и връзки към статия, наречена „Индия трябва да осъзнае, че Китай няма нищо общо с позицията на Непал в Липулех“ и документ, наречен „Посланик Янчи Разговор с Nepali_Media.pdf.' Документът съдържа интервю с китайския посланик в Непал относно COVID-19, инициативата „Пояс, път“ и териториалния въпрос в област Хумла.

Кражба на идентификационни данни и фишинг имейли

Продължаващата в момента операция SideWind APT включва няколко вектора на атака, които имат за цел да постигнат няколко различни цели. Първо, SideWind APT създаде фалшиви копия на действителни страници за влизане с намерението да събере идентификационните данни на целевите потребители. Например, изследователи на infosec откриха, че „mail-nepalgovnp.duckdns.org“ е създаден, за да се маскира като домейн на законното правителство на Непал, намиращ се на „mail.nepal.gov.np“. След като идентификационните данни са били събрани, жертвите се пренасочват или към истинските страници за влизане, или към споменатите по-рано документи, обсъждащи проблеми с горещи бутони.

Другата страна на атаката на SideWind APT включва разпространението на злонамерен софтуер - заплаха от задна врата и събирател на информация, чрез разпространение на фишинг имейли. Инфекцията включва сложна верига от атака, която съдържа множество етапи и няколко капкомер. Атаката може да следва два различни сценария:

• Първоначална доставка на .lnk файл, който изтегля .rtf файл и JavaScript файл
• Първоначална доставка на .zip архив, съдържащ заплашителен .lnk файл. .lnk започва следващата фаза на атаката, като извлича .hta файл с JavaScript

.rtf файловете експлоатират уязвимостта CVE-2017-11882, която позволява на заплахата да изпълнява произволен заплашителен код на устройството, без да е необходимо каквото и да е взаимодействие с потребителя. Въпреки че този конкретен експлойт беше коригиран още през 2017 г., киберпрестъпниците все още го използват, тъй като може да засегне всяка непоправена версия на Microsoft Office, Microsoft Windows и типове архитектура, чак до 2000 г.

Въпреки това, и в двата случая на атака крайната цел се постига чрез JavaScript файловете, които действат като капкомер за действителните полезни натоварвания на злонамерен софтуер.

Когато са напълно разгърнати, застрашаващите инструменти на SideWind APT могат да събират различни видове информация, както и да ексфилтрират избрани файлове в инфраструктурата за командване и контрол (C2, C&C) на групата. Събраните данни включват данни за потребителски акаунт, информация за системата, работещи процеси, данни за процесора, подробности за операционната система, данни за мрежата, инсталирани антивирусни програми, привилегии, подробности за всички свързани дискове и инсталирани приложения. Заплахата за събиране на данни също изброява всички директории на четири конкретни места:

• Потребители\%USERNAME%\Desktop,
• Потребители\%USERNAME%\Изтегляния,
• Потребители\%USERNAME%\Documents,
• Потребители\%USERNAME%\Контакти

Мобилна кампания е в процес на изграждане

SideWind APT също има кампания за атака, която ще бъде насочена към мобилни устройства на потребителите. Вече са открити няколко приложения, като всички те са в незавършено състояние. Някои все още не съдържаха заплашителен код, но бяха проектирани да изглеждат възможно най-легитимни. Едно такова приложение се нарича „OpinionPoll“ и се преструва на приложение за проучване за събиране на мнения относно политическия спор между Непал и Индия. Други приложения имаха вече внедрени заплашителни възможности, но все пак показват признаци, че е необходима още работа, преди да приключат.

Това не е първият път, когато SideWind APT използва мобилни инструменти за злонамерен софтуер в своите дейности. Преди това те са били наблюдавани да внедряват заплашителни приложения, преструвайки се на файлов мениджър на инструменти за фотография. След като потребителят ги изтегли, приложенията SideWind APT използваха експлойта CVE-2019-2215 и уязвимостите на MediaTek-SU, за да получат root привилегии на компрометираното устройство.