SideWind APT

„SideWind“ yra pavadinimas, priskirtas „Advanced Persistent Threat“ (APT) įsilaužėlių grupei, kuri parodė ilgalaikį susidomėjimą Pietų Azijos regionu. Grupė šiuo metu vykdo plataus masto atakų kampaniją prieš taikinius tame pačiame regione. Konkrečiau, įsilaužėliai bando sukompromituoti subjektus, daugiausia įsikūrusius Nepale ir Afganistane. Patvirtinti taikiniai yra Nepalo armija, Nepalo gynybos ir užsienio reikalų ministerijos, Šri Lankos gynybos ministerija, Afganistano nacionalinio saugumo taryba ir Afganistano prezidento rūmai. Savo veikloje SideWind APT demonstruoja gebėjimą greitai įtraukti pasaulinius įvykius ir Pietų Azijos regionui būdingas politines problemas į sukčiavimo ir kenkėjiškų programų kampanijas. Grupė jau pasinaudojo COVID-19 pandemija keliose grėsmingose operacijose, o naujausioje kampanijoje taip pat yra nuorodų į straipsnį pavadinimu „Indija turėtų suprasti, kad Kinija neturi nieko bendra su Nepalo pozicija dėl Lipulekh“ ir dokumentą „Ambasadorius Yanchi“. Pokalbis su Nepali_Media.pdf.' Dokumente yra interviu su Kinijos ambasadoriumi Nepale dėl COVID-19, juostos, kelių iniciatyvos ir teritorinio reikalo Humlos rajone.

Kredencialų vagystės ir sukčiavimo el. laiškai

Šiuo metu vykstanti SideWind APT operacija apima keletą atakų vektorių, kuriais siekiama kelių skirtingų tikslų. Pirma, „SideWind APT“ sukūrė suklastotas tikrųjų prisijungimo puslapių kopijas, siekdama surinkti tikslinių vartotojų kredencialus. Pavyzdžiui, „infosec“ tyrėjai išsiaiškino, kad „mail-nepalgovnp.duckdns.org“ buvo sukurtas siekiant apsirengti kaip teisėtas Nepalo vyriausybės domenas, esantis adresu „mail.nepal.gov.np“. Surinkus kredencialus, aukos buvo nukreiptos į tikrus prisijungimo puslapius arba į anksčiau minėtus dokumentus, kuriuose aptariamos karštojo mygtuko problemos.

Kita SideWind APT atakos pusė apima kenkėjiškų programų platinimą – užpakalinių durų grėsmę ir informacijos rinkiklį, platinant sukčiavimo el. laiškus. Infekcija apima sudėtingą atakos grandinę, kurią sudaro keli etapai ir keli lašintuvai. Išpuolis gali vykti dviem skirtingais scenarijais:

• Pradinis .lnk failo, kuriuo atsisiunčiamas .rtf failas ir „JavaScript“ failas, pristatymas
• Pradinis .zip archyvo, kuriame yra grėsmingas .lnk failas, pristatymas. .lnk pradeda kitą atakos etapą, gaudamas .hta failą su JavaScript

.rtf failai išnaudoja CVE-2017-11882 pažeidžiamumą, kuris leidžia grėsmės veikėjui paleisti savavališką grėsmingą kodą įrenginyje, nereikalaujant jokio vartotojo sąveikos. Nors šis konkretus išnaudojimas buvo ištaisytas dar 2017 m., kibernetiniai nusikaltėliai jį vis dar naudoja, nes tai gali paveikti bet kurią nepataisytą „Microsoft Office“, „Microsoft Windows“ versiją ir architektūros tipus, siekiančius 2000 m.

Tačiau abiem atakų atvejais galutinis tikslas pasiekiamas naudojant „JavaScript“ failus, kurie veikia kaip tikrosios kenkėjiškų programų naudingosios apkrovos lašintuvas.

Visiškai įdiegus, SideWind APT grėsmę keliantys įrankiai gali surinkti įvairių rūšių informaciją, taip pat išfiltruoti pasirinktus failus į grupės Command-and-Control (C2, C&C) infrastruktūrą. Surinkti duomenys apima vartotojo abonemento informaciją, sistemos informaciją, vykdomus procesus, procesoriaus informaciją, OS informaciją, tinklo informaciją, įdiegtas antivirusines programas, privilegijas, informaciją apie visus prijungtus diskus ir įdiegtas programas. Duomenų rinkimo grėsmė taip pat išvardija visus katalogus keturiose konkrečiose vietose:

• Vartotojai\%USERNAME%\Desktop,
• Vartotojai\%USERNAME%\Atsisiuntimai,
• Vartotojai\%USERNAME%\Dokumentai,
• Vartotojai\%USERNAME%\Contacts

Šiuo metu kuriama kampanija mobiliesiems

„SideWind APT“ taip pat rengia atakos kampaniją, kuri bus nukreipta į vartotojų mobiliuosius įrenginius. Jau buvo aptikta keletas programų, kurios visos yra nebaigtos. Kai kuriuose dar nebuvo grėsmingo kodo, bet jie buvo sukurti taip, kad atrodytų kuo teisėti. Viena iš tokių programų vadinama „OpinionPoll“ ir apsimeta apklausos programa, skirta rinkti nuomones apie Nepalo ir Indijos politinį ginčą. Kitose programose jau buvo įdiegtos grėsmingos galimybės, tačiau jos vis dar rodė ženklų, kad reikia daugiau padirbėti, kol jos bus baigtos.

Tai ne pirmas kartas, kai „SideWind APT“ savo veikloje naudoja mobiliųjų kenkėjiškų programų įrankius. Anksčiau buvo pastebėta, kad jie diegia grėsmingas programas, apsimetančias fotografavimo įrankių failų tvarkykle. Kai vartotojas juos atsisiuntė, SideWind APT programos panaudojo CVE-2019-2215 išnaudojimo ir MediaTek-SU pažeidžiamumą, kad gautų pažeisto įrenginio root teises.