SideWind APT

SideWind je naziv dodijeljen grupi hakera za naprednu trajnu prijetnju (APT) koji su pokazali trajni interes za regiju Južne Azije. Skupina je trenutno angažirana u širokoj kampanji napada na mete u istoj regiji. Točnije, hakeri pokušavaju kompromitirati subjekte koji se uglavnom nalaze u Nepalu i Afganistanu. Potvrđene mete uključuju nepalsku vojsku, nepalska ministarstva obrane i vanjskih poslova, Ministarstvo obrane Šri Lanke, Vijeće za nacionalnu sigurnost Afganistana i Predsjedničku palaču u Afganistanu. U svojim operacijama, SideWind APT pokazuje sposobnost brzog uključivanja globalnih događaja i političkih pitanja specifičnih za regiju Južne Azije u svoje kampanje za krađu identiteta i zlonamjerni softver. Grupa je već iskoristila pandemiju COVID-19 u nekoliko prijetećih operacija, dok najnovija kampanja uključuje i linkove na članak pod nazivom 'Indija bi trebala shvatiti da Kina nema nikakve veze s Nepalskim stajalištem o Lipulekhu' i dokument pod nazivom 'Ambassador Yanchi Razgovor s Nepali_Media.pdf.' Dokument sadrži intervju s kineskim veleposlanikom u Nepalu u vezi s COVID-19, inicijativom Pojas, put i teritorijalnim pitanjima u okrugu Humla.

E-poruke o krađi vjerodajnica i krađi identiteta

Operacija SideWind APT koja je trenutno u tijeku uključuje nekoliko vektora napada koji imaju za cilj postizanje nekoliko različitih ciljeva. Prvo, SideWind APT stvorio je lažne kopije stvarnih stranica za prijavu s namjerom da prikupi vjerodajnice ciljanih korisnika. Na primjer, istraživači infosec-a otkrili su da je 'mail-nepalgovnp.duckdns.org' stvoren da se maskira kao domena legitimne nepalske vlade koja se nalazi na 'mail.nepal.gov.np'. Nakon što su vjerodajnice prikupljene, žrtve su se preusmjeravale ili na prave stranice za prijavu ili na prethodno spomenute dokumente koji raspravljaju o problemima s vrućim gumbom.

Druga strana napada SideWind APT-a uključuje distribuciju zlonamjernog softvera - backdoor prijetnje i prikupljača informacija, putem širenja phishing e-poruka. Infekcija uključuje složeni lanac napada koji sadrži više faza i nekoliko kapaljki. Napad bi mogao slijediti dva različita scenarija:

• Početna isporuka .lnk datoteke koja preuzima .rtf datoteku i JavaScript datoteku
• Početna isporuka .zip arhive koja sadrži prijeteću .lnk datoteku. .lnk započinje sljedeću fazu napada dohvaćanjem .hta datoteke s JavaScriptom

Datoteke .rtf iskorištavaju ranjivost CVE-2017-11882, koja omogućuje akteru prijetnje pokretanje proizvoljnog prijetećeg koda na uređaju bez potrebe za bilo kakvom korisničkom interakcijom. Iako je ovaj konkretan eksploatacija popravljen još 2017., cyber kriminalci ga i dalje koriste jer može utjecati na bilo koju nezakrpljenu verziju Microsoft Officea, Microsoft Windowsa i tipova arhitekture sve do 2000. godine.

Međutim, u oba slučaja napada, krajnji cilj se postiže putem JavaScript datoteka koje djeluju kao ispuštač za stvarni sadržaj zlonamjernog softvera.

Kada se u potpunosti implementiraju, prijeteći alati SideWind APT-a mogu prikupiti različite vrste informacija, kao i eksfiltrirati odabrane datoteke u infrastrukturu za upravljanje i upravljanje (C2, C&C) grupe. Prikupljeni podaci uključuju pojedinosti o korisničkom računu, informacije o sustavu, pokrenute procese, pojedinosti o procesoru, pojedinosti o OS-u, pojedinosti o mreži, instalirane antivirusne programe, privilegije, pojedinosti za sve povezane pogone i instalirane aplikacije. Prijetnja prikupljanja podataka također navodi sve direktorije na četiri određena mjesta:

• Korisnici\%USERNAME%\Desktop,
• Korisnici\%USERNAME%\Preuzimanja,
• Korisnici\%USERNAME%\Documents,
• Korisnici\%USERNAME%\Kontakti

Mobilna kampanja je u izradi

SideWind APT također radi napadnu kampanju koja će ciljati mobilne uređaje korisnika. Već je otkriveno nekoliko aplikacija, a sve su u nedovršenom stanju. Neki još nisu sadržavali prijeteći kod, ali su bili dizajnirani da izgledaju što je moguće legitimnije. Jedna takva aplikacija zove se 'OpinionPoll' i pretvara se da je aplikacija za istraživanje za prikupljanje mišljenja o političkom sporu Nepala i Indije. Druge su aplikacije imale prijeteće mogućnosti koje su već implementirane, ali su i dalje pokazivale znakove da je potrebno još raditi prije nego što budu gotovi.

Ovo nije prvi put da SideWind APT koristi mobilne alate zlonamjernog softvera u svojim aktivnostima. Ranije je primijećeno da postavljaju prijeteće aplikacije pretvarajući se da upravljaju datotekama alata za fotografije. Nakon što ih je korisnik preuzeo, SideWind APT aplikacije su iskoristile CVE-2019-2215 ranjivosti i ranjivosti MediaTek-SU kako bi dobile root privilegije na kompromitiranom uređaju.