SideWind APT

SideWind on nimi Advanced Persistent Threat (APT) hakkeriryhmälle, joka on osoittanut jatkuvaa kiinnostusta Etelä-Aasian alueella. Ryhmä on tällä hetkellä mukana laajassa hyökkäyskampanjassa samalla alueella olevia kohteita vastaan. Tarkemmin sanottuna hakkerit yrittävät vaarantaa entiteetit, jotka sijaitsevat pääasiassa Nepalissa ja Afganistanissa. Vahvistettuja kohteita ovat Nepalin armeija, Nepalin puolustus- ja ulkoministeriöt, Sri Lankan puolustusministeriö, Afganistanin kansallinen turvallisuusneuvosto ja presidentin palatsi Afganistanissa. SideWind APT osoittaa toiminnassaan kykynsä sisällyttää nopeasti maailmanlaajuiset tapahtumat ja Etelä-Aasian alueelle ominaiset poliittiset kysymykset tietojenkalastelu- ja haittaohjelmakampanjoihinsa. Ryhmä on jo hyödyntänyt COVID-19-pandemiaa useissa uhkaavissa operaatioissa, kun taas uusimmassa kampanjassa on myös linkkejä artikkeliin "Intian pitäisi ymmärtää, että Kiinalla ei ole mitään tekemistä Nepalin kannan kanssa Lipulekhissa" ja asiakirjaan "suurlähettiläs Yanchi". Keskustelu Nepali_Media.pdf:n kanssa.' Asiakirja sisältää haastattelun Kiinan Nepalin-suurlähettilään kanssa liittyen COVID-19:ään, vyöhykkeeseen, tiealoitteeseen ja Humlan piirin alueeseen.

Valtuustietovarkaudet ja tietojenkalasteluviestit

Tällä hetkellä meneillään oleva SideWind APT -operaatio sisältää useita hyökkäysvektoreita, joilla pyritään saavuttamaan useita erillisiä tavoitteita. Ensin SideWind APT loi väärennettyjä kopioita todellisista kirjautumissivuista tarkoituksenaan kerätä kohdekäyttäjien tunnistetiedot. Esimerkiksi infosec-tutkijat havaitsivat, että "mail-nepalgovnp.duckdns.org" luotiin naamioitumaan Nepalin hallituksen lailliseksi verkkotunnukseksi, joka sijaitsee osoitteessa "mail.nepal.gov.np". Kun tunnistetiedot oli kerätty, uhrit ohjattiin joko oikeille kirjautumissivuille tai aiemmin mainittuihin asiakirjoihin, joissa käsitellään pikanäppäimiä.

SideWind APT:n hyökkäyksen toinen puoli liittyy haittaohjelmien – takaoven uhan ja tiedonkeruuohjelman – jakeluun tietojenkalasteluviestien levittämisen kautta. Infektio sisältää monimutkaisen hyökkäysketjun, joka sisältää useita vaiheita ja useita tiputtajia. Hyökkäys voi tapahtua kahdella eri skenaariolla:

• Alkutoimitus .lnk-tiedostolle, joka lataa .rtf- ja JavaScript-tiedoston
• Uhkaavan .lnk-tiedoston sisältävän .zip-arkiston ensimmäinen toimitus. .lnk aloittaa hyökkäyksen seuraavan vaiheen hakemalla .hta-tiedoston JavaScriptillä

.rtf-tiedostot hyödyntävät CVE-2017-11882-haavoittuvuutta, jonka ansiosta uhkatekijä voi suorittaa mielivaltaisen uhkaavan koodin laitteella ilman käyttäjän toimia. Vaikka tämä hyväksikäyttö korjattiin jo vuonna 2017, verkkorikolliset käyttävät sitä edelleen, koska se voi vaikuttaa kaikkiin Microsoft Officen, Microsoft Windowsin ja arkkitehtuurityyppien korjaamattomiin versioihin aina vuoteen 2000 asti.

Kuitenkin molemmissa hyökkäystapauksissa lopputavoite saavutetaan JavaScript-tiedostoilla, jotka toimivat varsinaisten haittaohjelmien hyötykuormien tiputtajana.

Täysin käytössä SideWind APT:n uhkaavat työkalut voivat kerätä erilaisia tietoja sekä suodata valitut tiedostot ryhmän Command-and-Control (C2, C&C) infrastruktuuriin. Kerätyt tiedot sisältävät käyttäjätilitiedot, järjestelmätiedot, käynnissä olevat prosessit, suorittimen tiedot, käyttöjärjestelmän tiedot, verkkotiedot, asennetut virustorjuntaohjelmat, oikeudet, tiedot kaikista liitettyistä asemista ja asennetuista sovelluksista. Tiedonkeruuuhka listaa myös kaikki hakemistot neljässä tietyssä paikassa:

• Käyttäjät\%KÄYTTÄJÄNIMI%\Työpöytä,
• Käyttäjät\%KÄYTTÄJÄNIMI%\Lataukset,
• Käyttäjät\%KÄYTTÄJÄNIMI%\Dokumentit,
• Käyttäjät\%KÄYTTÄJÄNIMI%\Yhteystiedot

Mobiilikampanja on rakenteilla

SideWind APT:llä on myös työn alla hyökkäyskampanja, joka kohdistuu käyttäjien mobiililaitteisiin. Useita sovelluksia on jo löydetty, ja ne kaikki ovat keskeneräisessä tilassa. Jotkut eivät vielä sisältäneet uhkaavaa koodia, mutta ne oli suunniteltu näyttämään mahdollisimman laillisilta. Yksi tällainen sovellus on nimeltään OpinionPoll, ja se teeskentelee olevansa kyselysovellus, jolla kerätään mielipiteitä Nepalin ja Intian välisestä poliittisesta kiistasta. Muissa sovelluksissa oli jo toteutettu uhkaavia ominaisuuksia, mutta ne osoittivat silti merkkejä siitä, että työtä tarvitaan lisää ennen kuin ne valmistuvat.

Tämä ei ole ensimmäinen kerta, kun SideWind APT on käyttänyt mobiilihaittaohjelmatyökaluja toiminnassaan. Aiemmin heidän on havaittu ottavan käyttöön uhkaavia sovelluksia, jotka teeskentelevät valokuvaustyökalujen tiedostonhallintaa. Kun käyttäjä on ladannut ne, SideWind APT -sovellukset hyödynsivät CVE-2019-2215:n hyväksikäyttö- ja MediaTek-SU-haavoittuvuuksia saadakseen pääkäyttäjän oikeudet vaarantuneelle laitteelle.