SideWind APT

A SideWind az Advanced Persistent Threat (APT) hackercsoport elnevezése, amely tartós érdeklődést mutatott a dél-ázsiai régióban. A csoport jelenleg széles körű támadási kampányt folytat ugyanabban a régióban lévő célpontok ellen. Pontosabban, a hackerek elsősorban Nepálban és Afganisztánban található entitásokat próbálnak kompromittálni. A megerősített célpontok közé tartozik a nepáli hadsereg, a nepáli védelmi és külügyminisztérium, a Srí Lanka-i védelmi minisztérium, az afganisztáni nemzetbiztonsági tanács és az afganisztáni elnöki palota. Működése során a SideWind APT bebizonyítja, hogy képes gyorsan beépíteni a dél-ázsiai régióra jellemző globális eseményeket és politikai kérdéseket adathalász- és rosszindulatú programjaikba. A csoport már számos fenyegető műveletben kihasználta a COVID-19 világjárvány előnyeit, míg a legutóbbi kampány linkeket tartalmaz az „India kellene rájön, hogy Kínának semmi köze Nepál álláspontjához Lipulekh” című cikkhez és a „Yanchi nagykövet” című dokumentumhoz is. Beszélgetés a Nepali_Media.pdf-vel.' A dokumentum a nepáli kínai nagykövettel készített interjút tartalmaz a COVID-19-ről, a Belt, Road Initiative-ról és a Humla körzet területi ügyeiről.

Hitelesítési adatok ellopása és adathalász e-mailek

A jelenleg folyamatban lévő SideWind APT művelet számos támadási vektort tartalmaz, amelyek több különböző cél elérését célozzák. Először is, a SideWind APT létrehozta a tényleges bejelentkezési oldalak hamisított másolatait azzal a szándékkal, hogy összegyűjtse a megcélzott felhasználók hitelesítő adatait. Az infosec kutatói például felfedezték, hogy a „mail-nepalgovnp.duckdns.org” címet azért hozták létre, hogy a „mail.nepal.gov.np” címen található legitim nepáli kormány domainjének álcázzák magukat. A hitelesítő adatok begyűjtése után az áldozatok a valódi bejelentkezési oldalakra vagy a korábban említett, gyorsgombos problémákat tárgyaló dokumentumokra irányították át.

A SideWind APT támadásának másik oldala a rosszindulatú programok – egy hátsó ajtó fenyegetés és egy információgyűjtő – terjesztése, adathalász e-mailek terjesztésén keresztül. A fertőzés összetett támadási láncot foglal magában, amely több szakaszból és több cseppentőből áll. A támadás két különböző forgatókönyvet követhet:

• Egy .lnk fájl első kézbesítése, amely letölt egy .rtf fájlt és egy JavaScript fájlt
• Egy fenyegető .lnk fájlt tartalmazó .zip archívum kezdeti kézbesítése. Az .lnk elindítja a támadás következő fázisát egy .hta fájl JavaScripttel történő letöltésével

Az .rtf fájlok kihasználják a CVE-2017-11882 biztonsági rést, amely lehetővé teszi a fenyegetés szereplőjének tetszőleges fenyegető kód futtatását az eszközön anélkül, hogy felhasználói beavatkozásra lenne szükség. Bár ezt a konkrét kizsákmányolást már 2017-ben kijavították, a kiberbűnözők továbbra is használják, mivel hatással lehet a Microsoft Office, a Microsoft Windows és a 2000-ig visszamenőleges architektúra bármely javítatlan verziójára.

Mindazonáltal mindkét támadási esetben a végső célt a JavaScript-fájlok segítségével érik el, amelyek a rosszindulatú programok tényleges rakományának csepegtetőjeként működnek.

Teljes üzembe helyezéskor a SideWind APT fenyegető eszközei különféle információkat gyűjthetnek be, valamint a kiválasztott fájlokat kiszűrhetik a csoport Command-and-Control (C2, C&C) infrastruktúrájába. Az összegyűjtött adatok tartalmazzák a felhasználói fiókok adatait, a rendszerinformációkat, a futó folyamatokat, a CPU-adatokat, az operációs rendszer részleteit, a hálózati adatokat, a telepített víruskereső programokat, a jogosultságokat, az összes csatlakoztatott meghajtó és telepített alkalmazás részleteit. Az adatgyűjtő fenyegetés ezenkívül négy konkrét helyen felsorolja az összes könyvtárat:

• Felhasználók\%USERNAME%\Desktop,
• Felhasználók\%FELHASZNÁLÓNÉV%\Letöltések,
• Felhasználók\%FELHASZNÁLÓNÉV%\Dokumentumok,
• Users\%USERNAME%\Contacts

Mobilkampány készül

A SideWind APT támadási kampánya is készül, amely a felhasználók mobileszközeit célozza meg. Számos alkalmazást fedeztek fel már, amelyek mindegyike befejezetlen állapotban van. Néhányan még nem tartalmaztak fenyegető kódot, de úgy tervezték, hogy a lehető legjogosabbnak tűnjenek. Az egyik ilyen alkalmazás az „OpinionPoll” nevet viseli, és egy felmérési alkalmazásnak adja ki magát, amely a Nepál-India politikai vitával kapcsolatos véleményeket gyűjti össze. Más alkalmazások fenyegető képességeit már bevezették, de még mindig mutatták annak jeleit, hogy további munkára van szükség a befejezésükig.

Nem ez az első alkalom, hogy a SideWind APT mobil malware eszközöket alkalmaz tevékenységei során. Korábban megfigyelték, hogy fenyegető alkalmazásokat telepítettek, amelyek úgy tesznek, mintha fényképészeti eszközök fájlkezelői lennének. Miután a felhasználó letöltötte őket, a SideWind APT alkalmazások kihasználták a CVE-2019-2215 exploit és a MediaTek-SU sebezhetőségét, hogy root jogosultságokat szerezzenek a feltört eszközön.