SideWind APT

SideWind on nimi, mis on määratud Advanced Persistent Threat (APT) häkkerite rühmale, kes on näidanud üles kestvat huvi Lõuna-Aasia piirkonna vastu. Rühm tegeleb praegu laiaulatusliku rünnakukampaaniaga samas piirkonnas asuvate sihtmärkide vastu. Täpsemalt üritavad häkkerid kompromiteerida peamiselt Nepalis ja Afganistanis asuvaid üksusi. Kinnitatud sihtmärkide hulka kuuluvad Nepali armee, Nepali kaitse- ja välisministeeriumid, Sri Lanka kaitseministeerium, Afganistani riiklik julgeolekunõukogu ja presidendipalee Afganistanis. SideWind APT näitab oma tegevuses võimet kiiresti kaasata Lõuna-Aasia piirkonnale omased globaalsed sündmused ja poliitilised probleemid oma andmepüügi- ja pahavarakampaaniatesse. Rühm on COVID-19 pandeemiat juba mitmes ähvardavas operatsioonis ära kasutanud, samas kui viimane kampaania sisaldab ka linke artiklile "India peaks mõistma, et Hiinal pole midagi pistmist Nepali seisukohaga Lipulekhis" ja dokumendile "Suursaadik Yanchi". Vestlus saidiga Nepali_Media.pdf.' Dokument sisaldab intervjuud Hiina suursaadikuga Nepalis seoses COVID-19, Belt, Road Initiative ja Humla piirkonna territoriaalküsimustega.

Mandaadi varguse ja andmepüügi e-kirjad

Praegu käimasolev SideWind APT operatsioon hõlmab mitut ründevektorit, mille eesmärk on saavutada mitu erinevat eesmärki. Esiteks lõi SideWind APT tegelike sisselogimislehtede võltsitud koopiad eesmärgiga koguda sihtkasutajate mandaate. Näiteks avastasid infoseci teadlased, et mail-nepalgovnp.duckdns.org loodi selleks, et maskeerida end Nepali valitsuse seadusliku domeenina, mis asub aadressil mail.nepal.gov.np. Kui volikirjad olid kogutud, suunati ohvrid kas tegelikele sisselogimislehtedele või eelnevalt mainitud dokumentidele, kus arutati kiirnupuga seotud probleeme.

SideWind APT rünnaku teine pool hõlmab pahavara – tagaukse ohu ja teabekoguja – levitamist andmepüügimeilide levitamise kaudu. Nakkus hõlmab keerulist rünnakuahelat, mis sisaldab mitut etappi ja mitut tilgutit. Rünnak võib toimuda kahel erineval stsenaariumil:

  • Lnk-faili esialgne tarnimine, mis laadib alla rtf-faili ja JavaScripti faili
  • Ohtlikku lnk-faili sisaldava .zip-arhiivi esialgne tarnimine. lnk alustab rünnaku järgmist faasi, tuues JavaScriptiga .hta-faili

Rtf-failid kasutavad turvaauku CVE-2017-11882, mis võimaldab ohutegijal käivitada seadmes suvalise ohukoodi ilma kasutaja sekkumiseta. Kuigi see konkreetne ärakasutamine parandati juba 2017. aastal, kasutavad küberkurjategijad seda endiselt, kuna see võib mõjutada kõiki Microsoft Office'i, Microsoft Windowsi ja 2000. aastani ulatuvate arhitektuuritüüpide parandamata versioone.

Kuid mõlemal ründejuhtumil saavutatakse lõppeesmärk JavaScript-failide kaudu, mis toimivad tegeliku pahavara kasuliku koormuse jaoks.

Kui see on täielikult kasutusele võetud, saavad SideWind APT ähvardavad tööriistad koguda erinevat tüüpi teavet ning eraldada valitud failid rühma Command-and-Control (C2, C&C) infrastruktuuri. Kogutud andmed hõlmavad kasutajakonto üksikasju, süsteemiteavet, jooksvaid protsesse, protsessori üksikasju, OS-i üksikasju, võrgu üksikasju, installitud viirusetõrjeprogramme, õigusi, üksikasju kõigi ühendatud draivide ja installitud rakenduste kohta. Andmekoguja oht loetleb ka kõik kataloogid neljas konkreetses asukohas:

  • Kasutajad\%USERNAME%\Desktop,
  • Kasutajad\%USERNAME%\Allalaadimised,
  • Kasutajad\%KASUTANIMI%\Dokumendid,
  • Kasutajad\%KASUTANIMI%\Kontaktid

Mobiilikampaania on valmimisel

SideWind APT-l on töös ka ründekampaania, mis sihib kasutajate mobiilseadmeid. Mitmed rakendused on juba avastatud, kõik need on lõpetamata. Mõned neist ei sisaldanud veel ähvardavat koodi, kuid olid kavandatud nii, et need näiksid võimalikult legitiimsed. Ühte sellist rakendust nimetatakse Arvamusküsitluseks ja see teeskleb küsitlusrakendust Nepali-India poliitilise vaidluse kohta arvamuste kogumiseks. Teistes rakendustes olid ähvardavad võimalused juba rakendatud, kuid need näitasid siiski märke, et enne nende lõpetamist on vaja veel tööd teha.

See pole esimene kord, kui SideWind APT kasutab oma tegevuses mobiilseid pahavara tööriistu. Varem on täheldatud, et nad kasutavad ähvardavaid rakendusi, mis teesklevad fotograafiatööriistade failihaldurit. Kui kasutaja on need alla laadinud, kasutasid SideWind APT rakendused CVE-2019-2215 ärakasutamist ja MediaTek-SU haavatavusi, et hankida rikutud seadme juurõigused.

Trendikas

Enim vaadatud

Laadimine...