SideWind APT

SideWind הוא השם שהוקצה לקבוצת האקרים מתמשכת מתקדמת (APT) שגילתה עניין מתמשך באזור דרום אסיה. הקבוצה עוסקת כעת במסע תקיפה רחב טווח נגד מטרות באותו אזור. ליתר דיוק, ההאקרים מנסים להתפשר על גופים הממוקמים בעיקר בנפאל ובאפגניסטן. המטרות שאושרו כוללות את צבא נפאל, משרדי ההגנה והחוץ הנפאלים, משרד ההגנה של סרי לנקה, המועצה לביטחון לאומי של אפגניסטן, והארמון הנשיאותי באפגניסטן. בפעילותה, SideWind APT מדגימה את היכולת לשלב במהירות אירועים גלובליים ונושאים פוליטיים ספציפיים לאזור דרום אסיה בקמפיינים של פישינג ותוכנות זדוניות שלהם. הקבוצה ניצלה את מגיפת ה-COVID-19 כבר בכמה פעולות מאיימות, בעוד שהקמפיין האחרון כולל גם קישורים למאמר בשם 'הודו צריכה להבין שלסין אין שום קשר לעמדתה של נפאל על ליפולך' ומסמך בשם 'השגריר יאנצ'י שיחה עם Nepali_Media.pdf.' המסמך מכיל ראיון עם השגריר הסיני בנפאל בנוגע ל-COVID-19, החגורה, יוזמת הדרך ועניין טריטוריאלי במחוז חומלה.

גניבת אישורים ודיוג אימיילים

פעולת SideWind APT המתמשכת כיום כוללת מספר וקטורי התקפה שמטרתם להשיג מספר מטרות ברורות. ראשית, SideWind APT יצרה עותקים מזויפים של דפי התחברות בפועל מתוך כוונה לאסוף את האישורים של המשתמשים הממוקדים. לדוגמה, חוקרי infosec גילו ש-'mail-nepalgovnp.duckdns.org' נוצר כדי להתחזות לדומיין הלגיטימי של ממשלת נפאל שנמצא בכתובת 'mail.nepal.gov.np'. לאחר שנאספו האישורים, הקורבנות פנו לדפי הכניסה האמיתיים או למסמכים שהוזכרו קודם לכן הדנים בבעיות עם כפתורים חמים.

הצד השני של המתקפה של SideWind APT כרוך בהפצה של תוכנות זדוניות - איום בדלת אחורית ואוסף מידע, באמצעות הפצת מיילים דיוג. ההדבקה כוללת שרשרת תקיפה מורכבת המכילה מספר שלבים ומספר טפטפות. ההתקפה עשויה לעקוב אחר שני תרחישים שונים:

• מסירה ראשונית של קובץ lnk המוריד קובץ rtf וקובץ JavaScript
• מסירה ראשונית של ארכיון .zip המכיל קובץ .lnk מאיים. ה-.lnk מתחיל את השלב הבא של המתקפה על ידי שליפת קובץ .hta עם JavaScript

קבצי ה-.rtf מנצלים את הפגיעות CVE-2017-11882, המאפשרת לשחקן האיום להריץ קוד מאיים שרירותי במכשיר ללא צורך באינטראקציה כלשהי של המשתמש. למרות שהניצול המסוים הזה תוקן כבר ב-2017, פושעי סייבר עדיין משתמשים בו מכיוון שהוא יכול להשפיע על כל גרסה לא מתוקנת של Microsoft Office, Microsoft Windows וסוגי ארכיטקטורה עד לשנת 2000.

עם זאת, בשני מקרי התקיפה, המטרה הסופית מושגת באמצעות קבצי ה-JavaScript המשמשים כמטפטף למטעני התוכנות הזדוניות בפועל.

כאשר הם נפרסים במלואם, הכלים המאיימים של SideWind APT יכולים לאסוף סוגי מידע שונים, כמו גם לסנן קבצים נבחרים לתשתית Command-and-Control (C2, C&C) של הקבוצה. הנתונים שנאספו כוללים פרטי חשבון משתמש, מידע מערכת, תהליכים רצים, פרטי CPU, פרטי מערכת הפעלה, פרטי רשת, תוכנות אנטי וירוס מותקנות, הרשאות, פרטים עבור כל הכוננים המחוברים והיישומים המותקנים. איום אוסף הנתונים מפרט גם את כל הספריות בארבעה מיקומים ספציפיים:

• משתמשים\%USERNAME%\Desktop,
• משתמשים\%USERNAME%\הורדות,
• משתמשים\%USERNAME%\Documents,
• משתמשים\%USERNAME%\אנשי קשר

מסע פרסום לנייד נמצא בשלבי בנייה

ל- SideWind APT יש גם קמפיין תקיפה בתהליך שיכוון למכשירים הניידים של המשתמשים. מספר יישומים כבר התגלו, כאשר כולם במצב לא גמור. חלקם לא הכילו קוד מאיים עד כה, אך תוכננו כך שייראו לגיטימיים ככל האפשר. אפליקציה אחת כזו נקראת 'OpinionPoll' והיא מתיימרת להיות אפליקציה לסקר לאיסוף דעות על הסכסוך הפוליטי בין נפאל-הודו. ליישומים אחרים היו יכולות מאיימות שכבר יושמו, אך עדיין הראו סימנים שדרושה עוד עבודה לפני שהם יסתיימו.

זו לא הפעם הראשונה ש-SideWind APT משתמשת בכלי תוכנה זדונית ניידים בפעילותם. בעבר, הם נצפו לפרוס יישומים מאיימים המעמידים פנים שהם מנהלי קבצים של כלי צילום. לאחר שהמשתמש הוריד אותם, יישומי SideWind APT מינפו את הפגיעות CVE-2019-2215 ו-MediaTek-SU כדי להשיג הרשאות שורש במכשיר שנפרץ.