SideWind APT

SideWind ir nosaukums, kas piešķirts Advanced Persistent Threat (APT) hakeru grupai, kas ir izrādījuši ilgstošu interesi par Dienvidāzijas reģionu. Grupa pašlaik ir iesaistīta plaša diapazona uzbrukuma kampaņā pret mērķiem tajā pašā reģionā. Konkrētāk, hakeri cenšas kompromitēt struktūras, kas galvenokārt atrodas Nepālā un Afganistānā. Apstiprināto mērķu vidū ir Nepālas armija, Nepālas Aizsardzības un Ārlietu ministrijas, Šrilankas Aizsardzības ministrija, Afganistānas Nacionālā drošības padome un Afganistānas prezidenta pils. Savā darbībā SideWind APT demonstrē spēju savās pikšķerēšanas un ļaunprātīgas programmatūras kampaņās ātri iekļaut Dienvidāzijas reģionam raksturīgus globālus notikumus un politiskos jautājumus. Grupa jau ir izmantojusi COVID-19 pandēmijas sniegtās priekšrocības vairākās draudošās operācijās, savukārt jaunākajā kampaņā ir iekļautas arī saites uz rakstu “Indijai vajadzētu saprast, ka Ķīnai nav nekāda sakara ar Nepālas nostāju Lipulekhā” un dokumentu “Vēstnieks Janči Saruna ar Nepali_Media.pdf.' Dokumentā ir ietverta intervija ar Ķīnas vēstnieku Nepālā par COVID-19, joslu, ceļu iniciatīvu un teritoriālo jautājumu Humlas rajonā.

Akreditācijas datu zādzības un pikšķerēšanas e-pasta ziņojumi

Pašlaik notiekošā SideWind APT operācija ietver vairākus uzbrukuma vektorus, kuru mērķis ir sasniegt vairākus atšķirīgus mērķus. Pirmkārt, SideWind APT izveidoja faktisko pieteikšanās lapu viltotas kopijas ar nolūku apkopot mērķa lietotāju akreditācijas datus. Piemēram, infosec pētnieki atklāja, ka “mail-nepalgovnp.duckdns.org” tika izveidots, lai maskētos par likumīgu Nepālas valdības domēnu, kas atrodas vietnē “mail.nepal.gov.np”. Kad akreditācijas dati tika iegūti, upuri tika novirzīti vai nu uz īstajām pieteikšanās lapām, vai uz iepriekš minētajiem dokumentiem, kuros tika apspriesti karstās pogas jautājumi.

Otra SideWind APT uzbrukuma puse ir saistīta ar ļaunprātīgas programmatūras izplatīšanu - aizmugures durvju draudiem un informācijas savācēju, izplatot pikšķerēšanas e-pastus. Infekcija ietver sarežģītu uzbrukuma ķēdi, kurā ir vairāki posmi un vairāki pilinātāji. Uzbrukums var notikt pēc diviem dažādiem scenārijiem:

• Sākotnējā .lnk faila piegāde, kas lejupielādē .rtf failu un JavaScript failu
• Sākotnējā .zip arhīva piegāde, kas satur apdraudošu .lnk failu. .lnk sāk nākamo uzbrukuma fāzi, ienesot .hta failu ar JavaScript

.rtf faili izmanto ievainojamību CVE-2017-11882, kas ļauj draudu izpildītājam ierīcē palaist patvaļīgu draudu kodu bez lietotāja iejaukšanās. Lai gan šis konkrētais pārkāpums tika novērsts jau 2017. gadā, kibernoziedznieki to joprojām izmanto, jo tas var ietekmēt jebkuru Microsoft Office, Microsoft Windows un arhitektūras veidu, kas nav ielādēti, versiju, sākot ar 2000. gadu.

Tomēr abos uzbrukuma gadījumos galamērķis tiek sasniegts, izmantojot JavaScript failus, kas darbojas kā faktiskās ļaunprātīgās programmatūras slodzes novadītājs.

Kad SideWind APT apdraudošie rīki ir pilnībā izvietoti, tie var iegūt dažāda veida informāciju, kā arī izfiltrēt atlasītos failus grupas Command-and-Control (C2, C&C) infrastruktūrā. Apkopotie dati ietver lietotāja konta informāciju, sistēmas informāciju, darbības procesus, CPU informāciju, OS informāciju, tīkla informāciju, instalētās pretvīrusu programmas, privilēģijas, informāciju par visiem pievienotajiem diskdziņiem un instalētajām lietojumprogrammām. Datu savācēja draudi arī uzskaita visus direktorijus četrās noteiktās vietās:

• Lietotāji\%USERNAME%\Desktop,
• Lietotāji\%LIETOTĀJVĀRDS%\Lejupielādes,
• Lietotāji\%LIETOTĀJVĀRDS%\Dokumenti,
• Users\%USERNAME%\Contacts

Tiek izstrādāta mobilā kampaņa

SideWind APT ir arī uzbrukuma kampaņa, kas būs vērsta uz lietotāju mobilajām ierīcēm. Jau ir atklāti vairāki lietojumi, un tie visi ir nepabeigtā stāvoklī. Dažos no tiem vēl nebija draudu koda, taču tie tika izstrādāti tā, lai tie izskatītos pēc iespējas likumīgāki. Viena šāda lietojumprogramma tiek saukta par “OpinionPoll”, un tā uzdodas par aptaujas pieteikumu viedokļu apkopošanai par Nepālas un Indijas politisko strīdu. Citām lietojumprogrammām jau bija ieviestas apdraudošas iespējas, taču joprojām bija pazīmes, ka pirms to pabeigšanas ir nepieciešams vairāk darba.

Šī nav pirmā reize, kad SideWind APT savās darbībās izmanto mobilo ierīču ļaunprātīgas programmatūras rīkus. Iepriekš tika novērots, ka viņi izvieto apdraudošas lietojumprogrammas, kas izliekas par fotografēšanas rīku failu pārvaldnieku. Kad lietotājs tos ir lejupielādējis, SideWind APT lietojumprogrammas izmantoja CVE-2019-2215 ekspluatācijas un MediaTek-SU ievainojamības, lai iegūtu saknes privilēģijas apdraudētajā ierīcē.