SideWind APT

SideWind è il nome assegnato a un gruppo di hacker APT (Advanced Persistent Threat) che ha mostrato un interesse duraturo nella regione dell'Asia meridionale. Il gruppo è attualmente impegnato in una campagna di attacco ad ampio raggio contro obiettivi nella stessa regione. Più specificamente, gli hacker stanno cercando di compromettere entità situate principalmente in Nepal e Afghanistan. Gli obiettivi confermati includono l'esercito nepalese, i ministeri della difesa e degli affari esteri nepalesi, il ministero della difesa dello Sri Lanka, il Consiglio di sicurezza nazionale afghano e il palazzo presidenziale in Afghanistan. Nelle sue operazioni, SideWind APT dimostra la capacità di incorporare rapidamente eventi globali e questioni politiche specifiche della regione dell'Asia meridionale nelle loro campagne di phishing e malware. Il gruppo ha già approfittato della pandemia COVID-19 in diverse operazioni minacciose, mentre l'ultima campagna include anche collegamenti a un articolo intitolato 'L'India dovrebbe rendersi conto che la Cina non ha nulla a che fare con la posizione del Nepal a Lipulekh' e un documento chiamato 'Ambasciatore Yanchi Conversazione con Nepali_Media.pdf. " Il documento contiene un'intervista con l'ambasciatore cinese in Nepal riguardo a COVID-19, Belt, Road Initiative e questioni territoriali nel distretto di Humla.

Furto di credenziali ed e-mail di phishing

L'operazione APT SideWind attualmente in corso coinvolge diversi vettori di attacco che mirano a raggiungere diversi obiettivi distinti. Innanzitutto, SideWind APT ha creato copie contraffatte delle pagine di accesso effettive con l'intenzione di raccogliere le credenziali degli utenti mirati. Ad esempio, i ricercatori di infosec hanno scoperto che "mail-nepalgovnp.duckdns.org" è stato creato per mascherarsi come il dominio legittimo del governo del Nepal situato in "mail.nepal.gov.np". Una volta raccolte le credenziali, le vittime venivano reindirizzate alle pagine di accesso reali o ai documenti precedentemente menzionati che discutevano di problemi con i pulsanti di scelta rapida.

L'altro aspetto dell'attacco di SideWind APT riguarda la distribuzione di malware, una minaccia backdoor e un raccoglitore di informazioni, attraverso la diffusione di e-mail di phishing. L'infezione comporta una complessa catena di attacchi che contiene più fasi e diversi contagocce. L'attacco potrebbe seguire due diversi scenari:

  • Consegna iniziale di un file .lnk che scarica un file .rtf e un file JavaScript
  • Consegna iniziale di un archivio .zip contenente un minaccioso file .lnk. .Lnk avvia la fase successiva dell'attacco recuperando un file .hta con JavaScript

I file .rtf sfruttano la vulnerabilità CVE-2017-11882, che consente all'attore della minaccia di eseguire codice minaccioso arbitrario sul dispositivo senza la necessità di alcuna interazione da parte dell'utente. Sebbene questo particolare exploit sia stato risolto nel lontano 2017, i criminali informatici lo usano ancora in quanto può influenzare qualsiasi versione senza patch di Microsoft Office, Microsoft Windows e tipi di architettura risalenti al 2000.

Tuttavia, in entrambi i casi di attacco, l'obiettivo finale viene raggiunto tramite i file JavaScript che fungono da contagocce per i payload effettivi del malware.

Quando sono completamente distribuiti, gli strumenti minacciosi di SideWind APT possono raccogliere vari tipi di informazioni, nonché esfiltrare file selezionati nell'infrastruttura Command-and-Control (C2, C&C) del gruppo. I dati raccolti includono dettagli dell'account utente, informazioni di sistema, processi in esecuzione, dettagli della CPU, dettagli del sistema operativo, dettagli della rete, programmi antivirus installati, privilegi, dettagli per tutte le unità collegate e le applicazioni installate. La minaccia del raccoglitore di dati elenca anche tutte le directory in quattro posizioni specifiche:

  • Utenti \% USERNAME% \ Desktop,
  • Utenti \% USERNAME% \ Download,
  • Utenti \% USERNAME% \ Documents,
  • Utenti \% USERNAME% \ Contacts

Una campagna per cellulari è in costruzione

L'APT SideWind ha anche una campagna di attacco in lavorazione che prenderà di mira i dispositivi mobili degli utenti. Sono già state scoperte diverse applicazioni e tutte sono in uno stato incompleto. Alcuni non contenevano ancora codice minaccioso, ma erano progettati per apparire il più legittimi possibile. Una di queste applicazioni si chiama "OpinionPoll" e pretende di essere un'applicazione di sondaggio per raccogliere opinioni sulla disputa politica Nepal-India. Altre applicazioni avevano funzionalità minacciose già implementate, ma mostravano ancora segni della necessità di ulteriore lavoro prima di essere completate.

Non è la prima volta che SideWind APT utilizza strumenti di malware mobile nelle proprie attività. In precedenza, è stato osservato che distribuivano applicazioni minacciose che fingevano di gestire file di strumenti fotografici. Dopo che l'utente li ha scaricati, le applicazioni APT SideWind hanno sfruttato l'exploit CVE-2019-2215 e le vulnerabilità MediaTek-SU per ottenere i privilegi di root sul dispositivo compromesso.

Tendenza

I più visti

Caricamento in corso...