SideWind APT

Το SideWind είναι το όνομα που έχει αποδοθεί σε μια ομάδα hackers Advanced Persistent Threat (APT) που έχουν δείξει μόνιμο ενδιαφέρον για την περιοχή της Νότιας Ασίας. Η ομάδα αυτή τη στιγμή συμμετέχει σε εκστρατεία επιθέσεων ευρείας εμβέλειας εναντίον στόχων στην ίδια περιοχή. Πιο συγκεκριμένα, οι χάκερ προσπαθούν να παραβιάσουν οντότητες που βρίσκονται κυρίως στο Νεπάλ και το Αφγανιστάν. Οι επιβεβαιωμένοι στόχοι περιλαμβάνουν τον στρατό του Νεπάλ, τα Υπουργεία Άμυνας και Εξωτερικών του Νεπάλ, το Υπουργείο Άμυνας της Σρι Λάνκα, το Συμβούλιο Εθνικής Ασφάλειας του Αφγανιστάν και το Προεδρικό Μέγαρο στο Αφγανιστάν. Στις δραστηριότητές του, το SideWind APT επιδεικνύει την ικανότητα γρήγορης ενσωμάτωσης παγκόσμιων γεγονότων και πολιτικών ζητημάτων ειδικά για την περιοχή της Νότιας Ασίας στις εκστρατείες ηλεκτρονικού ψαρέματος και κακόβουλου λογισμικού. Η ομάδα έχει εκμεταλλευτεί την πανδημία του COVID-19 ήδη σε αρκετές απειλητικές επιχειρήσεις, ενώ η τελευταία καμπάνια περιλαμβάνει επίσης συνδέσμους προς ένα άρθρο με τίτλο «Η Ινδία πρέπει να συνειδητοποιήσει ότι η Κίνα δεν έχει καμία σχέση με τη στάση του Νεπάλ για το Lipulekh» και ένα έγγραφο που ονομάζεται «Πρεσβευτής Yanchi Συνομιλία με το Nepali_Media.pdf.' Το έγγραφο περιέχει μια συνέντευξη με τον Κινέζο πρεσβευτή στο Νεπάλ σχετικά με τον COVID-19, την Πρωτοβουλία Belt, Road και εδαφικό ζήτημα στην περιοχή Humla.

Email κλοπής διαπιστευτηρίων και phishing

Η τρέχουσα λειτουργία SideWind APT περιλαμβάνει διάφορους φορείς επίθεσης που στοχεύουν στην επίτευξη αρκετών διακριτών στόχων. Πρώτον, το SideWind APT δημιούργησε πλαστά αντίγραφα των πραγματικών σελίδων σύνδεσης με σκοπό να συλλέξει τα διαπιστευτήρια των στοχευμένων χρηστών. Για παράδειγμα, ερευνητές της infosec ανακάλυψαν ότι το 'mail-nepalgovnp.duckdns.org' δημιουργήθηκε για να μεταμφιεστεί ως ο νόμιμος τομέας της κυβέρνησης του Νεπάλ που βρίσκεται στη διεύθυνση 'mail.nepal.gov.np.' Μόλις συγκεντρωθούν τα διαπιστευτήρια, τα θύματα ανακατευθύνθηκαν είτε στις πραγματικές σελίδες σύνδεσης είτε στα έγγραφα που αναφέρθηκαν προηγουμένως, τα οποία συζητούσαν ζητήματα κουμπιών.

Η άλλη όψη της επίθεσης του SideWind APT περιλαμβάνει τη διανομή κακόβουλου λογισμικού - μια απειλή από κερκόπορτα και μια συλλογή πληροφοριών, μέσω της διάδοσης email phishing. Η μόλυνση περιλαμβάνει μια πολύπλοκη αλυσίδα επίθεσης που περιέχει πολλαπλά στάδια και πολλά σταγονόμετρα. Η επίθεση μπορεί να ακολουθήσει δύο διαφορετικά σενάρια:

• Αρχική παράδοση ενός αρχείου .lnk που κατεβάζει ένα αρχείο .rtf και ένα αρχείο JavaScript
• Αρχική παράδοση ενός αρχείου .zip που περιέχει ένα απειλητικό αρχείο .lnk. Το .lnk ξεκινά την επόμενη φάση της επίθεσης φέρνοντας ένα αρχείο .hta με JavaScript

Τα αρχεία .rtf εκμεταλλεύονται την ευπάθεια CVE-2017-11882, η οποία επιτρέπει στον παράγοντα απειλής να εκτελεί αυθαίρετο απειλητικό κώδικα στη συσκευή χωρίς την ανάγκη αλληλεπίδρασης με τον χρήστη. Αν και αυτό το συγκεκριμένο exploit διορθώθηκε το 2017, οι εγκληματίες του κυβερνοχώρου εξακολουθούν να το χρησιμοποιούν καθώς μπορεί να επηρεάσει οποιαδήποτε μη επιδιορθωμένη έκδοση του Microsoft Office, τα Microsoft Windows και τους τύπους αρχιτεκτονικής μέχρι το 2000.

Ωστόσο, και στις δύο περιπτώσεις επίθεσης, ο τελικός στόχος επιτυγχάνεται μέσω των αρχείων JavaScript που λειτουργούν ως σταγονόμετρο για τα πραγματικά ωφέλιμα φορτία κακόβουλου λογισμικού.

Όταν αναπτυχθούν πλήρως, τα απειλητικά εργαλεία του SideWind APT μπορούν να συλλέξουν διάφορα είδη πληροφοριών, καθώς και να διευρύνουν επιλεγμένα αρχεία στην υποδομή Command-and-Control (C2, C&C) της ομάδας. Τα δεδομένα που συλλέγονται περιλαμβάνουν στοιχεία λογαριασμού χρήστη, πληροφορίες συστήματος, διεργασίες που εκτελούνται, λεπτομέρειες CPU, λεπτομέρειες λειτουργικού συστήματος, λεπτομέρειες δικτύου, εγκατεστημένα προγράμματα προστασίας από ιούς, προνόμια, λεπτομέρειες για όλες τις συνδεδεμένες μονάδες δίσκου και τις εγκατεστημένες εφαρμογές. Η απειλή συλλογής δεδομένων παραθέτει επίσης όλους τους καταλόγους σε τέσσερις συγκεκριμένες τοποθεσίες:

• Χρήστες\%USERNAME%\Desktop,
• Χρήστες\%USERNAME%\Λήψεις,
• Χρήστες\%USERNAME%\Έγγραφα,
• Χρήστες\%USERNAME%\Επαφές

Μια καμπάνια για κινητά είναι υπό κατασκευή

Το SideWind APT έχει επίσης μια καμπάνια επίθεσης στα σκαριά που θα στοχεύει τις κινητές συσκευές των χρηστών. Ήδη έχουν ανακαλυφθεί αρκετές εφαρμογές, με όλες να βρίσκονται σε ημιτελή κατάσταση. Ορισμένα δεν περιείχαν ακόμη απειλητικό κώδικα, αλλά σχεδιάστηκαν για να φαίνονται όσο το δυνατόν πιο νόμιμοι. Μια τέτοια εφαρμογή ονομάζεται «OpinionPoll» και προσποιείται ότι είναι μια εφαρμογή έρευνας για τη συλλογή απόψεων σχετικά με την πολιτική διαμάχη Νεπάλ-Ινδίας. Άλλες εφαρμογές είχαν ήδη εφαρμοσμένες απειλητικές δυνατότητες, αλλά παρόλα αυτά έδειχναν σημάδια ότι χρειάζεται περισσότερη δουλειά πριν ολοκληρωθούν.

Δεν είναι η πρώτη φορά που το SideWind APT χρησιμοποιεί εργαλεία κακόβουλου λογισμικού για κινητά στις δραστηριότητές του. Προηγουμένως, είχε παρατηρηθεί ότι αναπτύσσουν απειλητικές εφαρμογές που προσποιούνται ότι είναι διαχειριστής αρχείων εργαλείων φωτογραφίας. Μόλις ο χρήστης τα κατεβάσει, οι εφαρμογές SideWind APT αξιοποίησαν τα τρωτά σημεία εκμετάλλευσης CVE-2019-2215 και MediaTek-SU για να αποκτήσουν δικαιώματα root στη συσκευή που έχει παραβιαστεί.