Llicències per a diversos dispositius (descomptes per volum)
Threat Database Advanced Persistent Threat (APT) SideWind APT

SideWind APT

El GoldSparrow el Advanced Persistent Threat (APT)
Traduir a:
Català

SideWind és el nom assignat a un grup de pirates informàtics d'amenaça persistent avançada (APT) que han mostrat un interès durador a la regió del sud d'Àsia. Actualment, el grup està involucrat en una campanya d'atac d'ampli abast contra objectius d'aquesta mateixa regió. Més concretament, els pirates informàtics intenten comprometre entitats ubicades principalment al Nepal i l'Afganistan. Els objectius confirmats inclouen l'Exèrcit nepalí, els Ministeris de Defensa i Afers Exteriors del Nepal, el Ministeri de Defensa de Sri Lanka, el Consell de Seguretat Nacional de l'Afganistan i el Palau Presidencial a l'Afganistan. En les seves operacions, SideWind APT demostra la capacitat d'incorporar ràpidament esdeveniments globals i qüestions polítiques específiques de la regió d'Àsia del Sud a les seves campanyes de pesca i programari maliciós. El grup ja s'ha aprofitat de la pandèmia de la COVID-19 en diverses operacions amenaçadores, mentre que la darrera campanya també inclou enllaços a un article anomenat "L'Índia hauria d'adonar-se que la Xina no té res a veure amb la postura del Nepal a Lipulekh" i un document anomenat "Ambaixador Yanchi". Conversa amb Nepali_Media.pdf.' El document conté una entrevista amb l'ambaixador xinès al Nepal sobre la COVID-19, la Iniciativa del Belt, Road i la qüestió territorial al districte de Humla.

Robatori de credencials i correus electrònics de pesca

L'operació SideWind APT actualment en curs implica diversos vectors d'atac que tenen com a objectiu assolir diversos objectius diferents. Primer, SideWind APT va crear còpies falsificades de pàgines d'inici de sessió reals amb la intenció de recollir les credencials dels usuaris objectiu. Per exemple, els investigadors de l'infosec van descobrir que "mail-nepalgovnp.duckdns.org" es va crear per dissimular-se com el domini legítim del govern del Nepal situat a "mail.nepal.gov.np". Un cop s'han recollit les credencials, les víctimes es van redirigir a les pàgines d'inici de sessió reals o als documents esmentats anteriorment que parlaven de problemes relacionats amb els botons.

L'altra cara de l'atac de SideWind APT implica la distribució de programari maliciós: una amenaça de porta posterior i un recopilador d'informació, mitjançant la difusió de correus electrònics de pesca. La infecció implica una cadena d'atac complexa que conté múltiples etapes i diversos comptagotes. L'atac podria seguir dos escenaris diferents:

  • Lliurament inicial d'un fitxer .lnk que baixa un fitxer .rtf i un fitxer JavaScript
  • Lliurament inicial d'un arxiu .zip que conté un fitxer .lnk amenaçador. El .lnk comença la següent fase de l'atac obtenint un fitxer .hta amb JavaScript

Els fitxers .rtf exploten la vulnerabilitat CVE-2017-11882, que permet a l'actor d'amenaça executar codi amenaçador arbitrari al dispositiu sense necessitat de cap interacció de l'usuari. Tot i que aquesta explotació en particular es va solucionar el 2017, els ciberdelinqüents encara l'utilitzen, ja que pot afectar qualsevol versió sense pegats de Microsoft Office, Microsoft Windows i tipus d'arquitectura des del 2000.

Tanmateix, en ambdós casos d'atac, l'objectiu final s'aconsegueix mitjançant els fitxers JavaScript que actuen com a comptador de les càrregues útils reals de programari maliciós.

Quan estan completament desplegades, les eines amenaçadores de SideWind APT poden recollir diversos tipus d'informació, així com exfiltrar fitxers seleccionats a la infraestructura de comandament i control (C2, C&C) del grup. Les dades recollides inclouen detalls del compte d'usuari, informació del sistema, processos en execució, detalls de la CPU, detalls del sistema operatiu, detalls de la xarxa, programes antivirus instal·lats, privilegis, detalls de totes les unitats connectades i aplicacions instal·lades. L'amenaça del col·lector de dades també enumera tots els directoris en quatre ubicacions específiques:

  • Usuaris\%USERNAME%\Escriptori,
  • Usuaris\%USERNAME%\Descàrregues,
  • Usuaris\%USERNAME%\Documents,
  • Usuaris\%USERNAME%\Contactes

S'està construint una campanya mòbil

L'APT SideWind també té en marxa una campanya d'atac dirigida als dispositius mòbils dels usuaris. Ja s'han descobert diverses aplicacions, totes elles en estat inacabada. Algunes encara no contenien cap codi amenaçador, però estaven dissenyades per semblar el més legítimes possible. Una d'aquestes aplicacions s'anomena "OpinionPoll" i pretén ser una aplicació d'enquesta per recollir opinions sobre la disputa política entre el Nepal i l'Índia. Altres aplicacions ja tenien capacitats amenaçadores implementades, però encara mostraven signes que calia més treball abans que s'acabin.

Aquesta no és la primera vegada que SideWind APT utilitza eines de programari maliciós mòbil en les seves activitats. Anteriorment, s'ha observat que desplegaven aplicacions amenaçadores que pretenen gestionar fitxers d'eines de fotografia. Un cop l'usuari els ha descarregat, les aplicacions SideWind APT van aprofitar l'explotació CVE-2019-2215 i les vulnerabilitats de MediaTek-SU per obtenir privilegis d'arrel al dispositiu compromès.

Tendència

Més vist

Carregant...