사이드윈드 APT

SideWind는 남아시아 지역에서 지속적인 관심을 보여온 APT(Advanced Persistent Threat) 해커 그룹에 할당된 이름입니다. 이 그룹은 현재 동일한 지역의 목표물에 대한 광범위한 공격 캠페인에 참여하고 있습니다. 보다 구체적으로 해커는 주로 네팔과 아프가니스탄에 위치한 조직을 손상시키려고 합니다. 확인된 표적은 네팔군, 네팔 국방부 및 외교부, 스리랑카 국방부, 아프가니스탄 국가안보회의, 아프가니스탄 대통령궁 등이다. SideWind APT는 운영 과정에서 남아시아 지역에 특정한 글로벌 이벤트와 정치적 문제를 피싱 및 맬웨어 캠페인에 신속하게 통합할 수 있는 능력을 보여줍니다. 이 그룹은 이미 여러 위협적인 작전에서 COVID-19 대유행을 이용했으며, 최신 캠페인에는 '인도는 중국이 리풀레크에 반대하는 네팔의 입장과 관련이 없음을 인식해야 함'이라는 기사와 '앰배서더 얀치'라는 문서에 대한 링크가 포함되어 있습니다. 네팔과의 대화_Media.pdf.' 이 문서에는 COVID-19, 일대일로 이니셔티브 및 훔라 지역의 영토 문제에 관해 주네팔 중국 대사와의 인터뷰가 포함되어 있습니다.

자격 증명 도용 및 피싱 이메일

현재 진행 중인 SideWind APT 작업에는 몇 가지 뚜렷한 목표를 달성하기 위한 여러 공격 벡터가 포함됩니다. 먼저 SideWind APT는 대상 사용자의 자격 증명을 수집할 의도로 실제 로그인 페이지의 스푸핑된 복사본을 만들었습니다. 예를 들어, infosec 연구원들은 'mail.nepal.gov.np'에 위치한 합법적인 네팔 정부의 도메인으로 가장하기 위해 'mail-nepalgovnp.duckdns.org'가 생성되었음을 발견했습니다. 자격 증명이 수집되면 피해자는 실제 로그인 페이지 또는 핫 버튼 문제를 논의하는 이전에 언급된 문서로 리디렉션되었습니다.

SideWind APT 공격의 다른 면은 피싱 이메일 유포를 통한 백도어 위협 및 정보 수집기인 멀웨어 배포와 관련이 있습니다. 감염에는 여러 단계와 여러 드로퍼가 포함된 복잡한 공격 체인이 포함됩니다. 공격은 두 가지 다른 시나리오를 따를 수 있습니다.

• .rtf 파일 및 JavaScript 파일을 다운로드하는 .lnk 파일의 초기 전달
• 위협적인 .lnk 파일이 포함된 .zip 아카이브의 초기 전달. .lnk는 JavaScript로 .hta 파일을 가져와서 공격의 다음 단계를 시작합니다.

.rtf 파일은 CVE-2017-11882 취약점을 악용하여 위협 행위자가 사용자 상호 작용 없이 장치에서 임의의 위협 코드를 실행할 수 있도록 합니다. 이 특정 익스플로잇은 2017년에 수정되었지만 사이버 범죄자들은 패치되지 않은 버전의 Microsoft Office, Microsoft Windows 및 2000년까지 거슬러 올라가는 아키텍처 유형에 영향을 줄 수 있으므로 여전히 이 익스플로잇을 사용합니다.

그러나 두 공격의 경우 모두 실제 맬웨어 페이로드에 대한 드롭퍼 역할을 하는 JavaScript 파일을 통해 최종 목표를 달성합니다.

완전히 배치되면 SideWind APT의 위협 도구는 다양한 종류의 정보를 수집할 수 있을 뿐만 아니라 선택한 파일을 그룹의 명령 및 제어(C2, C&C) 인프라로 유출할 수 있습니다. 수집된 데이터에는 사용자 계정 세부 정보, 시스템 정보, 실행 중인 프로세스, CPU 세부 정보, OS 세부 정보, 네트워크 세부 정보, 설치된 바이러스 백신 프로그램, 권한, 연결된 모든 드라이브 및 설치된 응용 프로그램에 대한 세부 정보가 포함됩니다. 데이터 수집기 위협은 또한 4개의 특정 위치에 있는 모든 디렉터리를 나열합니다.

• 사용자\%USERNAME%\데스크톱,
• 사용자\%USERNAME%\다운로드,
• 사용자\%USERNAME%\문서,
• 사용자\%USERNAME%\연락처

모바일 캠페인이 구축 중입니다.

SideWind APT는 또한 사용자의 모바일 장치를 대상으로 하는 공격 캠페인을 진행 중입니다. 여러 응용 프로그램이 이미 발견되었으며 모두 완료되지 않은 상태입니다. 일부는 아직 위협적인 코드를 포함하지 않았지만 가능한 합법적으로 보이도록 설계되었습니다. 그 중 하나가 '오피니언폴(OpinionPoll)'이라는 이름으로 네팔-인도 정치 분쟁에 대한 의견수렴을 위한 설문조사 애플리케이션인 척 가장하고 있다. 다른 애플리케이션에는 위협적인 기능이 이미 구현되어 있었지만 완료되기 전에 더 많은 작업이 필요하다는 징후를 여전히 보여주었습니다.

SideWind APT가 활동에 모바일 맬웨어 도구를 사용한 것은 이번이 처음이 아닙니다. 이전에는 사진 도구의 파일 관리자로 가장하는 위협적인 응용 프로그램을 배포하는 것이 관찰되었습니다. 사용자가 다운로드하면 SideWind APT 애플리케이션은 CVE-2019-2215 익스플로잇 및 MediaTek-SU 취약점을 활용하여 손상된 장치에 대한 루트 권한을 얻습니다.