Licenties voor meerdere apparaten (volumekortingen)
Threat Database Advanced Persistent Threat (APT) SideWind APT

SideWind APT

Tegen GoldSparrow in Advanced Persistent Threat (APT)
Vertalen naar:
Nederlands

SideWind is de naam die is toegewezen aan een Advanced Persistent Threat (APT) -groep van hackers die blijvende interesse hebben getoond in de regio Zuid-Azië. De groep voert momenteel een brede aanvalscampagne tegen doelen in diezelfde regio. Meer specifiek proberen de hackers entiteiten te compromitteren die zich voornamelijk in Nepal en Afghanistan bevinden. De bevestigde doelen zijn onder meer het Nepalese leger, de Nepalese ministeries van Defensie en Buitenlandse Zaken, het Sri Lankaanse ministerie van Defensie, de Nationale Veiligheidsraad van Afghanistan en het presidentieel paleis in Afghanistan. In zijn activiteiten toont SideWind APT de mogelijkheid om snel wereldwijde evenementen en politieke kwesties die specifiek zijn voor de regio Zuid-Azië op te nemen in hun phishing- en malwarecampagnes. De groep heeft al bij verschillende bedreigende operaties geprofiteerd van de COVID-19-pandemie, terwijl de laatste campagne ook links bevat naar een artikel met de titel 'India moet beseffen dat China niets te maken heeft met Nepal's standpunt over Lipulekh' en een document met de naam 'Ambassador Yanchi Gesprek met Nepali_Media.pdf. ' Het document bevat een interview met de Chinese ambassadeur in Nepal over COVID-19, de Belt, Road Initiative en territoriale aangelegenheden in het Humla-district.

Inloggegevens en phishing-e-mails

De momenteel lopende SideWind APT-operatie omvat verschillende aanvalsvectoren die tot doel hebben verschillende verschillende doelen te bereiken. Ten eerste heeft SideWind APT vervalste kopieën gemaakt van daadwerkelijke inlogpagina's met de bedoeling om de inloggegevens van de beoogde gebruikers te verzamelen. Infosec-onderzoekers ontdekten bijvoorbeeld dat 'mail-nepalgovnp.duckdns.org' was gemaakt om zich voor te doen als het legitieme domein van de Nepalese regering op 'mail.nepal.gov.np'. Nadat de inloggegevens waren verzameld, werden de slachtoffers omgeleid naar de echte inlogpagina's of naar de eerder genoemde documenten waarin hot-button-problemen werden besproken.

De andere kant van de SideWind APT-aanval betreft de verspreiding van malware - een achterdeurbedreiging en een informatie-verzamelaar, via de verspreiding van phishing-e-mails. De infectie omvat een complexe aanvalsketen die meerdere stadia en verschillende droppers bevat. De aanval kan twee verschillende scenario's volgen:

  • Eerste levering van een .lnk-bestand dat een .rtf-bestand en een JavaScript-bestand downloadt
  • Eerste levering van een .zip-archief met een bedreigend .lnk-bestand. De .lnk start de volgende fase van de aanval door een .hta-bestand op te halen met JavaScript

De .rtf-bestanden maken gebruik van de kwetsbaarheid CVE-2017-11882, waardoor de bedreigingsacteur willekeurige bedreigende code op het apparaat kan uitvoeren zonder tussenkomst van de gebruiker. Hoewel dit specifieke misbruik al in 2017 is verholpen, gebruiken cybercriminelen het nog steeds, omdat het invloed kan hebben op elke ongepatchte versie van Microsoft Office, Microsoft Windows en architectuurtypes die teruggaan tot 2000.

In beide aanvalsgevallen wordt het einddoel echter bereikt via de JavaScript-bestanden die fungeren als dropper voor de daadwerkelijke malware-payloads.

Wanneer ze volledig zijn geïmplementeerd, kunnen de bedreigende tools van SideWind APT verschillende soorten informatie verzamelen en geselecteerde bestanden exfiltreren naar de Command-and-Control-infrastructuur (C2, C&C) van de groep. De verzamelde gegevens omvatten gebruikersaccountdetails, systeeminformatie, actieve processen, CPU-details, OS-details, netwerkdetails, geïnstalleerde antivirusprogramma's, privileges, details voor alle aangesloten schijven en geïnstalleerde applicaties. De dreiging voor gegevensverzamelaars geeft ook een overzicht van alle mappen op vier specifieke locaties:

  • Gebruikers \% USERNAME% \ Desktop,
  • Gebruikers \% USERNAME% \ Downloads,
  • Gebruikers \% USERNAME% \ Documenten,
  • Gebruikers \% USERNAME% \ Contacten

Er wordt gewerkt aan een mobiele campagne

De SideWind APT heeft ook een aanvalscampagne in de maak die gericht is op de mobiele apparaten van gebruikers. Er zijn al verschillende toepassingen ontdekt, die allemaal in een onvoltooide staat verkeren. Sommige bevatten nog geen bedreigende code, maar waren ontworpen om zo legitiem mogelijk over te komen. Een van deze applicaties heet 'OpinionPoll' en doet zich voor als een enquête-applicatie om meningen te verzamelen over het politieke geschil tussen Nepal en India. Andere toepassingen hadden al bedreigende mogelijkheden, maar vertoonden nog steeds tekenen dat er meer werk nodig is voordat ze af zijn.

Dit is niet de eerste keer dat SideWind APT mobiele malwaretools gebruikt bij hun activiteiten. Eerder is waargenomen dat ze bedreigende applicaties inzetten die zich voordoen als bestandsbeheerder van fotografietools. Nadat de gebruiker ze had gedownload, maakten de SideWind APT-toepassingen gebruik van de CVE-2019-2215-exploit en MediaTek-SU-kwetsbaarheden om rootprivileges op het gecompromitteerde apparaat te verkrijgen.

Trending

Meest bekeken

Bezig met laden...