SideWind APT

SideWind je název přiřazený skupině hackerů APT (Advanced Persistent Threat), kteří projevili trvalý zájem o region jižní Asie. Skupina je v současné době zapojena do rozsáhlé útočné kampaně proti cílům ve stejném regionu. Přesněji řečeno, hackeři se snaží kompromitovat subjekty umístěné hlavně v Nepálu a Afghánistánu. Mezi potvrzené cíle patří nepálská armáda, nepálská ministerstva obrany a zahraničních věcí, ministerstvo obrany Srí Lanky, Rada národní bezpečnosti Afghánistánu a prezidentský palác v Afghánistánu. Ve svých operacích SideWind APT prokazuje schopnost rychle začlenit globální události a politické problémy specifické pro region jižní Asie do svých phishingových a malwarových kampaní. Skupina již využila pandemie COVID-19 v několika hrozivých operacích, zatímco nejnovější kampaň obsahuje také odkazy na článek s názvem „Indie by si měla uvědomit, že Čína nemá nic společného s nepálským postojem na Lipulekh“ a dokument s názvem „Velvyslanec Yanchi“. Konverzace s Nepali_Media.pdf.' Dokument obsahuje rozhovor s čínským velvyslancem v Nepálu ohledně COVID-19, iniciativy Belt, Road a územní záležitosti ve čtvrti Humla.

Krádež pověření a phishingové e-maily

Aktuálně probíhající operace SideWind APT zahrnuje několik útočných vektorů, jejichž cílem je dosáhnout několika odlišných cílů. Nejprve SideWind APT vytvořil falešné kopie skutečných přihlašovacích stránek se záměrem shromáždit pověření cílových uživatelů. Výzkumníci z infosec například zjistili, že 'mail-nepalgovnp.duckdns.org' byla vytvořena, aby se vydávala za legitimní doménu nepálské vlády umístěnou na 'mail.nepal.gov.np.' Jakmile byly přihlašovací údaje shromážděny, oběti byly přesměrovány buď na skutečné přihlašovací stránky, nebo na dříve uvedené dokumenty, které pojednávají o problémech s horkými tlačítky.

Druhá strana útoku SideWind APT zahrnuje distribuci malwaru – zadní vrátka a sběratele informací prostřednictvím šíření phishingových e-mailů. Infekce zahrnuje složitý útočný řetězec, který obsahuje několik fází a několik kapátek. Útok může mít dva různé scénáře:

• Počáteční doručení souboru .lnk, který stahuje soubor .rtf a soubor JavaScript
• Počáteční doručení archivu .zip obsahujícího hrozivý soubor .lnk. .lnk zahájí další fázi útoku načtením souboru .hta pomocí JavaScriptu

Soubory .rtf využívají zranitelnost CVE-2017-11882, která umožňuje aktérovi hrozby spouštět na zařízení libovolný ohrožující kód bez potřeby jakékoli interakce uživatele. Ačkoli tento konkrétní exploit byl opraven již v roce 2017, kyberzločinci ho stále používají, protože může ovlivnit jakoukoli neopravenou verzi Microsoft Office, Microsoft Windows a typy architektur až do roku 2000.

V obou případech útoku je však konečného cíle dosaženo prostřednictvím souborů JavaScript, které fungují jako kapátko pro skutečné užitečné zatížení malwaru.

Při plném nasazení mohou nebezpečné nástroje SideWind APT získávat různé druhy informací a také exfiltrovat vybrané soubory do infrastruktury Command-and-Control (C2, C&C) skupiny. Shromážděná data zahrnují podrobnosti o uživatelském účtu, systémové informace, běžící procesy, podrobnosti o CPU, podrobnosti o operačním systému, podrobnosti o síti, nainstalované antivirové programy, oprávnění, podrobnosti o všech připojených jednotkách a nainstalovaných aplikacích. Hrozba pro sběr dat také uvádí seznam všech adresářů ve čtyřech konkrétních umístěních:

• Uživatelé\%USERNAME%\Počítač,
• Uživatelé\%USERNAME%\Stahování,
• Uživatelé\%USERNAME%\Dokumenty,
• Uživatelé\%USERNAME%\Kontakty

Mobilní kampaň je ve výstavbě

SideWind APT také připravuje útočnou kampaň, která se zaměří na mobilní zařízení uživatelů. Několik aplikací již bylo objeveno, přičemž všechny jsou v nedokončeném stavu. Některé dosud neobsahovaly žádný ohrožující kód, ale byly navrženy tak, aby vypadaly co nejlegitimněji. Jedna taková aplikace se nazývá 'OpinionPoll' a předstírá, že jde o průzkumnou aplikaci pro shromažďování názorů na politický spor Nepál-Indie. Jiné aplikace již měly hrozivé funkce implementovány, ale stále vykazovaly známky toho, že před dokončením je zapotřebí více práce.

Není to poprvé, co SideWind APT ve svých aktivitách použil mobilní malwarové nástroje. Dříve bylo pozorováno, že nasazují ohrožující aplikace, které předstírají správce souborů fotografických nástrojů. Jakmile si je uživatel stáhne, aplikace SideWind APT využily zranitelnosti exploitu CVE-2019-2215 a MediaTek-SU k získání oprávnění root na napadeném zařízení.