SideWind APT

साइडविंड हैकर्स के एक एडवांस्ड पर्सिस्टेंट थ्रेट (APT) समूह को सौंपा गया नाम है, जिन्होंने दक्षिण एशिया क्षेत्र में स्थायी रुचि दिखाई है। समूह वर्तमान में उसी क्षेत्र में लक्ष्यों के खिलाफ व्यापक हमले के अभियान में लगा हुआ है। अधिक विशेष रूप से, हैकर्स मुख्य रूप से नेपाल और अफगानिस्तान में स्थित संस्थाओं से समझौता करने की कोशिश कर रहे हैं। पुष्टि किए गए लक्ष्यों में नेपाली सेना, रक्षा और विदेश मामलों के नेपाली मंत्रालय, श्रीलंकाई रक्षा मंत्रालय, अफगानिस्तान राष्ट्रीय सुरक्षा परिषद और अफगानिस्तान में राष्ट्रपति भवन शामिल हैं। अपने संचालन में, साइडविंड एपीटी दक्षिण एशिया क्षेत्र के लिए विशिष्ट वैश्विक घटनाओं और राजनीतिक मुद्दों को अपने फ़िशिंग और मैलवेयर अभियानों में त्वरित रूप से शामिल करने की क्षमता प्रदर्शित करता है। समूह ने पहले से ही कई खतरनाक अभियानों में COVID-19 महामारी का लाभ उठाया है, जबकि नवीनतम अभियान में 'इंडिया शुड रियलाइज़ चाइना हैज़ नथिंग टू डू विद नेपाल स्टैंड ऑन लिपुलेख' नामक एक लेख और 'एंबेसडर यान्ची' नामक एक दस्तावेज़ के लिंक भी शामिल हैं। नेपाली_मीडिया.पीडीएफ के साथ बातचीत।' दस्तावेज़ में हमला जिले में COVID-19, बेल्ट, रोड इनिशिएटिव और क्षेत्रीय मामले के संबंध में नेपाल में चीनी राजदूत के साथ एक साक्षात्कार शामिल है।

क्रेडेंशियल चोरी और फ़िशिंग ईमेल

वर्तमान में चल रहे साइडविंड एपीटी ऑपरेशन में कई अटैक वैक्टर शामिल हैं जिनका उद्देश्य कई अलग-अलग लक्ष्यों को पूरा करना है। सबसे पहले, साइडविंड एपीटी ने लक्षित उपयोगकर्ताओं की साख एकत्र करने के इरादे से वास्तविक लॉगिन पृष्ठों की नकली प्रतियां बनाईं। उदाहरण के लिए, infosec शोधकर्ताओं ने पाया कि 'mail-nepalgovnp.duckdns.org' को 'mail.nepal.gov.np' पर स्थित वैध नेपाल सरकार के डोमेन के रूप में छिपाने के लिए बनाया गया था। एक बार क्रेडेंशियल काटा जाने के बाद, पीड़ितों को या तो वास्तविक लॉगिन पृष्ठों पर या पहले उल्लिखित दस्तावेजों पर हॉट-बटन मुद्दों पर चर्चा करने के लिए पुनर्निर्देशित किया गया।

साइडविंड एपीटी के हमले के दूसरे पक्ष में फ़िशिंग ईमेल के प्रसार के माध्यम से मैलवेयर का वितरण शामिल है - एक पिछले दरवाजे का खतरा और एक सूचना-संग्रहकर्ता। संक्रमण में एक जटिल आक्रमण श्रृंखला शामिल होती है जिसमें कई चरण और कई ड्रॉपर होते हैं। हमला दो अलग-अलग परिदृश्यों का अनुसरण कर सकता है:

• एक .lnk फ़ाइल की प्रारंभिक डिलीवरी जो एक .rtf फ़ाइल और एक JavaScript फ़ाइल डाउनलोड करती है
• एक खतरनाक .lnk फ़ाइल वाले .zip संग्रह की प्रारंभिक डिलीवरी। .lnk जावास्क्रिप्ट के साथ एक .hta फ़ाइल लाकर हमले के अगले चरण की शुरुआत करता है

.rtf फाइलें CVE-2017-11882 भेद्यता का फायदा उठाती हैं, जो किसी भी उपयोगकर्ता इंटरैक्शन की आवश्यकता के बिना खतरे के अभिनेता को डिवाइस पर मनमाने ढंग से धमकी कोड चलाने की अनुमति देता है। हालांकि इस विशेष कारनामे को 2017 में तय किया गया था, साइबर अपराधी अभी भी इसका उपयोग करते हैं क्योंकि यह माइक्रोसॉफ्ट ऑफिस, माइक्रोसॉफ्ट विंडोज के किसी भी अनपेक्षित संस्करण और 2000 तक सभी तरह के आर्किटेक्चर प्रकारों को प्रभावित कर सकता है।

हालांकि, दोनों हमले के मामलों में, जावास्क्रिप्ट फाइलों के माध्यम से अंतिम लक्ष्य हासिल किया जाता है जो वास्तविक मैलवेयर पेलोड के लिए ड्रॉपर के रूप में कार्य करता है।

जब पूरी तरह से तैनात किया जाता है, तो साइडविंड एपीटी के धमकी देने वाले उपकरण विभिन्न प्रकार की सूचनाओं को एकत्र कर सकते हैं, साथ ही समूह के कमांड-एंड-कंट्रोल (सी2, सीएंडसी) बुनियादी ढांचे में चयनित फाइलों को बाहर निकाल सकते हैं। एकत्रित डेटा में उपयोगकर्ता खाता विवरण, सिस्टम जानकारी, चल रही प्रक्रियाएं, सीपीयू विवरण, ओएस विवरण, नेटवर्क विवरण, स्थापित एंटी-वायरस प्रोग्राम, विशेषाधिकार, सभी कनेक्टेड ड्राइव और इंस्टॉल किए गए एप्लिकेशन के विवरण शामिल हैं। डेटा-कलेक्टर खतरा चार विशिष्ट स्थानों में सभी निर्देशिकाओं को भी सूचीबद्ध करता है:

• उपयोगकर्ता\%USERNAME%\डेस्कटॉप,
• उपयोगकर्ता\%USERNAME%\डाउनलोड,
• उपयोगकर्ता\%USERNAME%\दस्तावेज़,
• उपयोगकर्ता\%USERNAME%\संपर्क

एक मोबाइल अभियान निर्माणाधीन है

साइडविंड एपीटी में उन कार्यों में एक हमला अभियान भी है जो उपयोगकर्ताओं के मोबाइल उपकरणों को लक्षित करेगा। कई आवेदन पहले ही खोजे जा चुके हैं, जिनमें से सभी अधूरे अवस्था में हैं। कुछ में अभी तक कोई धमकी देने वाला कोड नहीं था, लेकिन उन्हें यथासंभव वैध दिखने के लिए डिज़ाइन किया गया था। ऐसे ही एक आवेदन को 'ओपिनियन पोल' कहा जाता है और यह नेपाल-भारत राजनीतिक विवाद पर राय एकत्र करने के लिए एक सर्वेक्षण आवेदन होने का दिखावा कर रहा है। अन्य अनुप्रयोगों में पहले से ही लागू की गई खतरनाक क्षमताएं थीं, लेकिन फिर भी संकेत मिले कि उनके समाप्त होने से पहले और अधिक काम करने की आवश्यकता है।

यह पहली बार नहीं है कि साइडविंड एपीटी ने अपनी गतिविधियों में मोबाइल मालवेयर टूल्स का इस्तेमाल किया है। पहले, उन्हें फोटोग्राफी टूल के फ़ाइल प्रबंधक का नाटक करने वाले धमकी भरे अनुप्रयोगों को तैनात करने के लिए देखा गया है। एक बार जब उपयोगकर्ता ने उन्हें डाउनलोड कर लिया, तो साइडविंड एपीटी अनुप्रयोगों ने समझौता किए गए डिवाइस पर रूट विशेषाधिकार प्राप्त करने के लिए सीवीई-2019-2215 शोषण और मीडियाटेक-एसयू कमजोरियों का लाभ उठाया।