SideWind APT

SideWind ialah nama yang diberikan kepada kumpulan penggodam Advanced Persistent Threat (APT) yang telah menunjukkan minat berpanjangan di rantau Asia Selatan. Kumpulan itu kini terlibat dalam kempen serangan jarak jauh terhadap sasaran di wilayah yang sama. Lebih khusus lagi, penggodam cuba menjejaskan entiti yang terletak terutamanya di Nepal dan Afghanistan. Sasaran yang disahkan termasuk Tentera Nepal, Kementerian Pertahanan dan Hal Ehwal Luar Nepal, Kementerian Pertahanan Sri Lanka, Majlis Keselamatan Negara Afghanistan dan Istana Presiden di Afghanistan. Dalam operasinya, SideWind APT menunjukkan keupayaan untuk menggabungkan peristiwa global dan isu politik dengan cepat khusus untuk rantau Asia Selatan ke dalam kempen pancingan data dan perisian hasad mereka. Kumpulan itu telah mengambil kesempatan daripada pandemik COVID-19 dalam beberapa operasi yang mengancam, manakala kempen terbaru juga termasuk pautan ke artikel bernama 'India Harus Sedar China Tiada Kaitan Dengan Pendirian Nepal mengenai Lipulekh' dan dokumen yang dipanggil 'Ambassador Yanchi Perbualan dengan Nepali_Media.pdf.' Dokumen itu mengandungi temu bual dengan duta China ke Nepal mengenai COVID-19, Inisiatif Belt, Jalan Raya dan perkara wilayah di daerah Humla.

Kecurian Tauliah dan E-mel Phishing

Operasi SideWind APT yang sedang dijalankan melibatkan beberapa vektor serangan yang bertujuan untuk mencapai beberapa matlamat yang berbeza. Pertama, SideWind APT mencipta salinan palsu halaman log masuk sebenar dengan niat untuk mengumpul bukti kelayakan pengguna yang disasarkan. Sebagai contoh, penyelidik infosec mendapati bahawa 'mail-nepalgovnp.duckdns.org' dicipta untuk menyamar sebagai domain kerajaan Nepal yang sah yang terletak di 'mail.nepal.gov.np.' Setelah kelayakan dituai, mangsa untuk mengubah hala sama ada ke halaman log masuk sebenar atau ke dokumen yang disebut sebelum ini membincangkan isu butang panas.

Bahagian lain serangan SideWind APT melibatkan pengedaran perisian hasad - ancaman pintu belakang dan pengumpul maklumat, melalui penyebaran e-mel pancingan data. Jangkitan melibatkan rantai serangan kompleks yang mengandungi pelbagai peringkat dan beberapa penitis. Serangan itu boleh mengikuti dua senario berbeza:

• Penghantaran awal fail .lnk yang memuat turun fail .rtf dan fail JavaScript
• Penghantaran awal arkib .zip yang mengandungi fail .lnk yang mengancam. .lnk memulakan fasa seterusnya serangan dengan mengambil fail .hta dengan JavaScript

Fail .rtf mengeksploitasi kerentanan CVE-2017-11882, yang membolehkan pelaku ancaman menjalankan kod ancaman sewenang-wenangnya pada peranti tanpa memerlukan sebarang interaksi pengguna. Walaupun eksploitasi khusus ini telah diperbaiki pada tahun 2017, penjenayah siber masih menggunakannya kerana ia boleh menjejaskan mana-mana versi Microsoft Office, Microsoft Windows dan jenis seni bina yang tidak ditambal sepanjang tahun 2000.

Walau bagaimanapun, dalam kedua-dua kes serangan, matlamat akhir dicapai melalui fail JavaScript yang bertindak sebagai penitis untuk muatan perisian hasad sebenar.

Apabila digunakan sepenuhnya, alatan ancaman SideWind APT boleh mengumpul pelbagai jenis maklumat, serta mengeluarkan fail terpilih ke infrastruktur Perintah-dan-Kawalan (C2, C&C) kumpulan. Data yang dikumpul termasuk butiran akaun pengguna, maklumat sistem, proses berjalan, butiran CPU, butiran OS, butiran rangkaian, program anti-virus yang dipasang, keistimewaan, butiran untuk semua pemacu yang disambungkan dan aplikasi yang dipasang. Ancaman pengumpul data juga menyenaraikan semua direktori di empat lokasi tertentu:

• Pengguna\%USERNAME%\Desktop,
• Pengguna\%USERNAME%\Muat Turun,
• Pengguna\%USERNAME%\Dokumen,
• Pengguna\%USERNAME%\Kenalan

Kempen Mudah Alih sedang dalam Pembinaan

SideWind APT juga mempunyai kempen serangan dalam kerja-kerja yang akan menyasarkan peranti mudah alih pengguna. Beberapa aplikasi telah ditemui, dengan kesemuanya berada dalam keadaan belum selesai. Beberapa tidak mengandungi kod mengancam setakat ini tetapi telah direka bentuk untuk kelihatan sah mungkin. Satu permohonan sedemikian dipanggil 'OpinionPoll' dan berpura-pura menjadi permohonan tinjauan untuk mengumpul pendapat tentang pertikaian politik Nepal-India. Aplikasi lain mempunyai keupayaan mengancam yang telah dilaksanakan tetapi masih menunjukkan tanda-tanda bahawa lebih banyak kerja diperlukan sebelum ia selesai.

Ini bukan kali pertama SideWind APT menggunakan alat perisian hasad mudah alih dalam aktiviti mereka. Sebelum ini, mereka telah diperhatikan menggunakan aplikasi mengancam yang berpura-pura menjadi pengurus fail alat fotografi. Sebaik sahaja pengguna memuat turunnya, aplikasi SideWind APT memanfaatkan eksploitasi CVE-2019-2215 dan kelemahan MediaTek-SU untuk mendapatkan keistimewaan root pada peranti yang terjejas.