SideWind APT

SideWind er navnet som er tildelt en Advanced Persistent Threat (APT) gruppe av hackere som har vist varig interesse i Sør-Asia-regionen. Gruppen er for tiden engasjert i en omfattende angrepskampanje mot mål i den samme regionen. Mer spesifikt prøver hackerne å kompromittere enheter hovedsakelig lokalisert i Nepal og Afghanistan. De bekreftede målene inkluderer den nepalske hæren, de nepalske forsvars- og utenriksdepartementene, Sri Lankas forsvarsdepartement, Afghanistans nasjonale sikkerhetsråd og presidentpalasset i Afghanistan. I sine operasjoner demonstrerer SideWind APT evnen til raskt å inkorporere globale hendelser og politiske spørsmål som er spesifikke for Sør-Asia-regionen i deres phishing- og skadevarekampanjer. Gruppen har allerede utnyttet covid-19-pandemien i flere truende operasjoner, mens den siste kampanjen også inkluderer lenker til en artikkel kalt 'India bør innse at Kina ikke har noe å gjøre med Nepals standpunkt på Lipulekh' og et dokument kalt 'Ambassadør Yanchi' Samtale med Nepali_Media.pdf.' Dokumentet inneholder et intervju med den kinesiske ambassadøren i Nepal angående COVID-19, Belt, Road Initiative og territorielle forhold i Humla-distriktet.

Legitimasjonstyveri og phishing-e-poster

Den pågående SideWind APT-operasjonen involverer flere angrepsvektorer som tar sikte på å oppnå flere forskjellige mål. Først laget SideWind APT falske kopier av faktiske påloggingssider med den hensikt å samle inn de målrettede brukernes legitimasjon. For eksempel oppdaget infosec-forskere at 'mail-nepalgovnp.duckdns.org' ble opprettet for å maskere seg som den legitime nepalske regjeringens domene som ligger på 'mail.nepal.gov.np.' Når legitimasjonen ble høstet, ble ofrene omdirigert enten til de virkelige påloggingssidene eller til de tidligere nevnte dokumentene som diskuterer problemer med hurtigknapper.

Den andre siden av SideWind APTs angrep involverer distribusjon av skadevare – en bakdørstrussel og en info-samler, gjennom spredning av phishing-e-poster. Infeksjonen involverer en kompleks angrepskjede som inneholder flere stadier og flere droppere. Angrepet kan følge to forskjellige scenarier:

• Første levering av en .lnk-fil som laster ned en .rtf-fil og en JavaScript-fil
• Første levering av et .zip-arkiv som inneholder en truende .lnk-fil. .lnk starter neste fase av angrepet ved å hente en .hta-fil med JavaScript

.rtf-filene utnytter CVE-2017-11882-sårbarheten, som lar trusselaktøren kjøre vilkårlig truende kode på enheten uten behov for brukerinteraksjon. Selv om denne spesielle utnyttelsen ble fikset helt tilbake i 2017, bruker nettkriminelle den fortsatt siden den kan påvirke enhver uopprettet versjon av Microsoft Office, Microsoft Windows og arkitekturtyper helt tilbake til 2000.

I begge angrepstilfellene oppnås imidlertid sluttmålet gjennom JavaScript-filene som fungerer som en dropper for de faktiske skadelige nyttelastene.

Når de er fullt utplassert, kan SideWind APTs truende verktøy høste ulike typer informasjon, samt eksfiltrere utvalgte filer til Command-and-Control (C2, C&C)-infrastrukturen til gruppen. De innsamlede dataene inkluderer brukerkontodetaljer, systeminformasjon, kjørende prosesser, CPU-detaljer, OS-detaljer, nettverksdetaljer, installerte antivirusprogrammer, privilegier, detaljer for alle tilkoblede stasjoner og installerte applikasjoner. Datainnsamlertrusselen viser også alle kataloger på fire spesifikke steder:

• Brukere\%USERNAME%\Desktop,
• Brukere\%USERNAME%\Nedlastinger,
• Brukere\%USERNAME%\Documents,
• Brukere\%USERNAME%\Kontakter

En mobilkampanje er under konstruksjon

SideWind APT har også en angrepskampanje på gang som vil målrette brukernes mobile enheter. Flere applikasjoner er allerede oppdaget, og alle er i en uferdig tilstand. Noen inneholdt ingen truende kode foreløpig, men ble designet for å virke så legitime som mulig. En slik applikasjon kalles 'OpinionPoll' og utgir seg for å være en spørreundersøkelse for å samle meninger om den politiske konflikten mellom Nepal og India. Andre applikasjoner hadde truende funksjoner allerede implementert, men viste fortsatt tegn på at mer arbeid er nødvendig før de er ferdige.

Dette er ikke første gang SideWind APT har brukt mobile skadevareverktøy i sine aktiviteter. Tidligere har de blitt observert å distribuere truende applikasjoner som utgir seg for å være filbehandler for fotograferingsverktøy. Når brukeren har lastet dem ned, utnyttet SideWind APT-applikasjonene CVE-2019-2215-utnyttelsen og MediaTek-SU-sårbarhetene for å oppnå root-privilegier på den kompromitterte enheten.