SideWind APT

SideWind दक्षिण एशिया क्षेत्रमा दिगो चासो देखाउने ह्याकरहरूको उन्नत पर्सिस्टेन्ट थ्रेट (APT) समूहलाई तोकिएको नाम हो। यो समूह हाल सोही क्षेत्रमा लक्षित लक्ष्यहरू विरुद्ध व्यापक दायरा आक्रमण अभियानमा संलग्न छ। विशेष गरी, ह्याकरहरूले मुख्यतया नेपाल र अफगानिस्तानमा रहेका संस्थाहरूलाई सम्झौता गर्न खोजिरहेका छन्। पुष्टि भएका निशानामा नेपाली सेना, नेपाली रक्षा तथा परराष्ट्र मन्त्रालय, श्रीलंकाको रक्षा मन्त्रालय, अफगानिस्तानको राष्ट्रिय सुरक्षा परिषद् र अफगानिस्तानको राष्ट्रपति भवन समावेश छन्। यसको सञ्चालनमा, SideWind APT ले उनीहरूको फिसिङ र मालवेयर अभियानहरूमा दक्षिण एशिया क्षेत्रका लागि विशेष वैश्विक घटनाहरू र राजनीतिक मुद्दाहरूलाई द्रुत रूपमा समावेश गर्ने क्षमता देखाउँछ। समूहले COVID-19 महामारीको फाइदा उठाउँदै पहिले नै धेरै धम्कीपूर्ण अपरेसनहरू गरिसकेको छ, जबकि पछिल्लो अभियानमा 'लिपुलेकमा नेपालको अडानसँग भारतले चीनलाई केही गर्ने छैन' भन्ने लेख र 'राजदूत यान्छी' नामक कागजातको लिङ्क पनि समावेश छ। Nepali_Media.pdf सँगको कुराकानी।' उक्त दस्तावेजमा नेपालका लागि चिनियाँ राजदूतसँग कोभिड–१९, बेल्ट, रोड इनिसिएटिभ र हुम्ला जिल्लाको क्षेत्रीय मामिलाका सम्बन्धमा भएको अन्तर्वार्ता समेटिएको छ ।

प्रमाणपत्र चोरी र फिसिङ इमेलहरू

हाल चलिरहेको SideWind APT अपरेशनले धेरै आक्रमण भेक्टरहरू समावेश गर्दछ जुन धेरै फरक लक्ष्यहरू पूरा गर्ने लक्ष्य राख्छ। पहिलो, SideWind APT ले लक्षित प्रयोगकर्ताहरूको प्रमाणहरू सङ्कलन गर्ने उद्देश्यले वास्तविक लगइन पृष्ठहरूको नक्कली प्रतिलिपिहरू सिर्जना गर्यो। उदाहरणका लागि, इन्फोसेक अनुसन्धानकर्ताहरूले पत्ता लगाए कि 'mail-nepalgovnp.duckdns.org' लाई 'mail.nepal.gov.np' मा रहेको वैध नेपाल सरकारको डोमेनको रूपमा मास्करेड गर्न सिर्जना गरिएको थियो। एक पटक प्रमाणहरू काटिसकेपछि, पीडितहरूलाई वास्तविक लगइन पृष्ठहरूमा वा हट-बटन मुद्दाहरू छलफल गर्ने अघिल्लो उल्लेख गरिएका कागजातहरूमा पुन: निर्देशित गर्न।

SideWind APT को आक्रमणको अर्को पक्षमा मालवेयरको वितरण समावेश छ - ब्याकडोर खतरा र जानकारी-कलेक्टर, फिसिङ इमेलहरूको प्रसार मार्फत। संक्रमणले एक जटिल आक्रमण श्रृंखला समावेश गर्दछ जसमा धेरै चरणहरू र धेरै ड्रपरहरू हुन्छन्। आक्रमणले दुई फरक परिदृश्यहरू पछ्याउन सक्छ:

  • .ltf फाइल र JavaScript फाइल डाउनलोड गर्ने .lnk फाइलको प्रारम्भिक डेलिभरी
  • .lnk फाइल भएको .zip अभिलेखको प्रारम्भिक डेलिभरी। .lnk ले जाभास्क्रिप्टको साथ .hta फाइल ल्याएर आक्रमणको अर्को चरण सुरु गर्छ।

.rtf फाइलहरूले CVE-2017-11882 जोखिमको शोषण गर्दछ, जसले खतरा अभिनेतालाई कुनै पनि प्रयोगकर्ता अन्तरक्रियाको आवश्यकता बिना यन्त्रमा मनमानी धम्की कोड चलाउन अनुमति दिन्छ। यद्यपि यो विशेष शोषण 2017 मा फिर्ता तरीकाले तय गरिएको थियो, साइबर अपराधीहरूले अझै पनि यसलाई प्रयोग गर्छन् किनभने यसले Microsoft Office, Microsoft Windows, र आर्किटेक्चर प्रकारहरूको कुनै पनि अनप्याच गरिएको संस्करणलाई 2000 मा फर्केर असर गर्न सक्छ।

यद्यपि, दुवै आक्रमणका घटनाहरूमा, अन्तिम लक्ष्य JavaScript फाइलहरू मार्फत प्राप्त हुन्छ जुन वास्तविक मालवेयर पेलोडहरूको लागि ड्रपरको रूपमा कार्य गर्दछ।

जब पूर्ण रूपमा तैनात हुन्छ, SideWind APT को धम्की दिने उपकरणहरूले विभिन्न प्रकारका सूचनाहरू फसल गर्न सक्छन्, साथै समूहको कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) पूर्वाधारमा चयन गरिएका फाइलहरू बाहिर निकाल्न सक्छन्। सङ्कलन गरिएको डाटामा प्रयोगकर्ता खाता विवरणहरू, प्रणाली जानकारी, चलिरहेको प्रक्रियाहरू, CPU विवरणहरू, OS विवरणहरू, नेटवर्क विवरणहरू, स्थापित एन्टिभाइरस कार्यक्रमहरू, विशेषाधिकारहरू, सबै जडान गरिएका ड्राइभहरू र स्थापित अनुप्रयोगहरूको विवरणहरू समावेश छन्। डाटा-कलेक्टर खतराले चार विशिष्ट स्थानहरूमा सबै डाइरेक्टरीहरू सूचीबद्ध गर्दछ:

  • प्रयोगकर्ताहरू\%USERNAME%\डेस्कटप,
  • प्रयोगकर्ताहरू\%USERNAME%\डाउनलोडहरू,
  • प्रयोगकर्ताहरू\%USERNAME%\कागजातहरू,
  • प्रयोगकर्ताहरू\%USERNAME%\सम्पर्कहरू

एक मोबाइल अभियान निर्माणाधीन छ

SideWind APT सँग कार्यहरूमा आक्रमण अभियान पनि छ जसले प्रयोगकर्ताहरूको मोबाइल उपकरणहरूलाई लक्षित गर्नेछ। धेरै अनुप्रयोगहरू पहिले नै पत्ता लगाइएका छन्, ती सबै अधूरो अवस्थामा छन्। केहीमा अहिलेसम्म कुनै धम्की दिने कोड समावेश छैन तर सम्भव भएसम्म वैध रूपमा देखा पर्न डिजाइन गरिएको थियो। यस्तै एउटा एप्लिकेसन ‘ओपिनियनपोल’ भनिन्छ र नेपाल–भारत राजनीतिक विवादमा राय सङ्कलनका लागि सर्वेक्षण एप्लिकेसन भएको बहाना गरिरहेको छ । अन्य एप्लिकेसनहरूमा धम्की दिने क्षमताहरू पहिले नै लागू गरिसकेका थिए तर अझै पनि तिनीहरू समाप्त हुनु अघि थप काम आवश्यक छ भनेर संकेतहरू देखाए।

यो पहिलो पटक होइन कि SideWind APT ले तिनीहरूको गतिविधिहरूमा मोबाइल मालवेयर उपकरणहरू प्रयोग गरेको छ। पहिले, तिनीहरूले फोटोग्राफी उपकरणहरूको फाइल प्रबन्धकको बहाना गर्दै धम्कीपूर्ण अनुप्रयोगहरू प्रयोग गर्ने अवलोकन गरिएको छ। एक पटक प्रयोगकर्ताले तिनीहरूलाई डाउनलोड गरेपछि, SideWind APT अनुप्रयोगहरूले CVE-2019-2215 शोषण र MediaTek-SU कमजोरीहरूलाई सम्झौता गरिएको यन्त्रमा रूट विशेषाधिकारहरू प्राप्त गर्न लाभ उठाए।

ट्रेन्डिङ

धेरै हेरिएको

लोड गर्दै...