SideWind APT

SideWind er navnet tildelt en gruppe af hackere med avanceret vedvarende trussel (APT), der har vist varig interesse i Sydasien-regionen. Gruppen er i øjeblikket involveret i en omfattende angrebskampagne mod mål i samme region. Mere specifikt forsøger hackerne at kompromittere enheder, der hovedsageligt er placeret i Nepal og Afghanistan. De bekræftede mål inkluderer den nepalesiske hær, de nepalesiske forsvarsministerier og udenrigsanliggender, det srilankanske forsvarsministerium, det nationale sikkerhedsråd i Afghanistan og præsidentpaladset i Afghanistan. SideWind APT demonstrerer i sine operationer evnen til hurtigt at indarbejde globale begivenheder og politiske spørgsmål, der er specifikke for Sydasien-regionen, i deres phishing- og malware-kampagner. Gruppen har allerede udnyttet COVID-19-pandemien i adskillige truende operationer, mens den seneste kampagne også indeholder links til en artikel med navnet 'Indien skal indse, at Kina ikke har noget at gøre med Nepals stand på Lipulekh' og et dokument kaldet 'ambassadør Yanchi Samtale med Nepali_Media.pdf. ' Dokumentet indeholder et interview med den kinesiske ambassadør i Nepal om COVID-19, bæltet, vejinitiativet og territoriale anliggender i Humla-distriktet.

Legitimationstyveri og phishing-e-mails

Den aktuelt igangværende SideWind APT-operation involverer flere angrebsvektorer, der sigter mod at opnå flere forskellige mål. For det første oprettede SideWind APT falske kopier af faktiske login-sider med det formål at indsamle de målrettede brugeres legitimationsoplysninger. F.eks. Opdagede infosec-forskere, at 'mail-nepalgovnp.duckdns.org' blev oprettet til maskerade som den legitime Nepals regerings domæne, der ligger på 'mail.nepal.gov.np.' Når legitimationsoplysningerne blev høstet, blev ofrene omdirigeret til de rigtige login-sider eller til de tidligere nævnte dokumenter, der diskuterede problemer med genvejstaster.

Den anden side af SideWind APTs angreb involverer distribution af malware - en bagdørstrussel og en informationssamler gennem formidling af phishing-e-mails. Infektionen involverer en kompleks angrebskæde, der indeholder flere trin og flere droppere. Angrebet kunne følge to forskellige scenarier:

  • Første levering af en .lnk-fil, der downloader en .rtf-fil og en JavaScript-fil
  • Første levering af et .zip-arkiv, der indeholder en truende .lnk-fil. .Lnk starter den næste fase af angrebet ved at hente en .hta-fil med JavaScript

.Rtf-filerne udnytter sårbarheden CVE-2017-11882, som gør det muligt for trusselsaktøren at køre vilkårlig truende kode på enheden uden behov for brugerinteraktion. Selvom denne særlige udnyttelse blev løst helt tilbage i 2017, bruger cyberkriminelle den stadig, da den kan påvirke enhver ikke-patchet version af Microsoft Office, Microsoft Windows og arkitekturtyper, der går helt tilbage til 2000.

I begge angrebssager opnås det endelige mål dog gennem JavaScript-filer, der fungerer som en dropper for de faktiske malware-nyttelast.

Når de er fuldt implementeret, kan SideWind APTs truende værktøjer høste forskellige informationsarter samt exfiltrere valgte filer til Command-and-Control (C2, C&C) infrastrukturen i gruppen. De indsamlede data inkluderer brugerkontooplysninger, systemoplysninger, kørende processer, CPU-detaljer, OS-detaljer, netværksoplysninger, installerede antivirusprogrammer, privilegier, detaljer for alle tilsluttede drev og installerede applikationer. Dataindsamlertruslen viser også alle mapper fire specifikke placeringer:

  • Brugere \% USERNAME% \ Desktop
  • Brugere \% USERNAME% \ Downloads
  • Brugere \% USERNAME% \ Dokumenter
  • Brugere \% USERNAME% \ Kontakter

En mobil kampagne er under opførelse

SideWind APT har også en angrebskampagne, der er målrettet mod brugernes mobile enheder. Flere applikationer er allerede blevet opdaget, hvor alle er i en ufærdig tilstand. Nogle indeholdt endnu ingen truende kode, men var designet til at virke så legitime som muligt. En sådan ansøgning kaldes 'OpinionPoll' og foregiver at være en undersøgelsesansøgning til indsamling af meninger om den politiske konflikt mellem Nepal og Indien. Andre applikationer havde allerede implementeret truende kapaciteter, men viste stadig tegn på, at der er behov for mere arbejde, før de er færdige.

Dette er ikke første gang, at SideWind APT anvender mobile malware-værktøjer i deres aktiviteter. Tidligere er det blevet observeret, at de implementerer truende applikationer, der foregiver at være filhåndtering af fotograferingsværktøjer. Når brugeren har downloadet dem, udnyttede SideWind APT-applikationer CVE-2019-2215-udnyttelsen og MediaTek-SU-sårbarhederne for at opnå rodrettigheder på den kompromitterede enhed.

Trending

Mest sete

Indlæser...