ਸਾਈਡਵਿੰਡ APT

ਸਾਈਡਵਿੰਡ ਹੈਕਰਾਂ ਦੇ ਇੱਕ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੇਟ (APT) ਸਮੂਹ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਨਾਮ ਹੈ ਜਿਸਨੇ ਦੱਖਣੀ ਏਸ਼ੀਆ ਖੇਤਰ ਵਿੱਚ ਸਥਾਈ ਦਿਲਚਸਪੀ ਦਿਖਾਈ ਹੈ। ਸਮੂਹ ਵਰਤਮਾਨ ਵਿੱਚ ਉਸੇ ਖੇਤਰ ਵਿੱਚ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਵਿਆਪਕ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਵਿੱਚ ਰੁੱਝਿਆ ਹੋਇਆ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਹੈਕਰ ਮੁੱਖ ਤੌਰ 'ਤੇ ਨੇਪਾਲ ਅਤੇ ਅਫਗਾਨਿਸਤਾਨ ਵਿੱਚ ਸਥਿਤ ਇਕਾਈਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਰਹੇ ਹਨ। ਪੁਸ਼ਟੀ ਕੀਤੇ ਟੀਚਿਆਂ ਵਿੱਚ ਨੇਪਾਲੀ ਫੌਜ, ਰੱਖਿਆ ਅਤੇ ਵਿਦੇਸ਼ ਮਾਮਲਿਆਂ ਦੇ ਨੇਪਾਲੀ ਮੰਤਰਾਲੇ, ਸ਼੍ਰੀਲੰਕਾ ਦਾ ਰੱਖਿਆ ਮੰਤਰਾਲਾ, ਅਫਗਾਨਿਸਤਾਨ ਰਾਸ਼ਟਰੀ ਸੁਰੱਖਿਆ ਪਰਿਸ਼ਦ ਅਤੇ ਅਫਗਾਨਿਸਤਾਨ ਵਿੱਚ ਰਾਸ਼ਟਰਪਤੀ ਮਹਿਲ ਸ਼ਾਮਲ ਹਨ। ਇਸਦੇ ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚ, ਸਾਈਡਵਿੰਡ ਏਪੀਟੀ ਉਹਨਾਂ ਦੀਆਂ ਫਿਸ਼ਿੰਗ ਅਤੇ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਦੱਖਣੀ ਏਸ਼ੀਆ ਖੇਤਰ ਲਈ ਵਿਸ਼ੇਸ਼ ਗਲੋਬਲ ਇਵੈਂਟਾਂ ਅਤੇ ਸਿਆਸੀ ਮੁੱਦਿਆਂ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਸ਼ਾਮਲ ਕਰਨ ਦੀ ਯੋਗਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ। ਗਰੁੱਪ ਨੇ ਪਹਿਲਾਂ ਹੀ ਕਈ ਧਮਕੀ ਭਰੀਆਂ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਕੋਵਿਡ-19 ਮਹਾਂਮਾਰੀ ਦਾ ਫਾਇਦਾ ਉਠਾਇਆ ਹੈ, ਜਦੋਂ ਕਿ ਨਵੀਨਤਮ ਮੁਹਿੰਮ ਵਿੱਚ ਇੱਕ ਲੇਖ ਦੇ ਲਿੰਕ ਵੀ ਸ਼ਾਮਲ ਹਨ, ਜਿਸ ਵਿੱਚ 'ਭਾਰਤ ਨੂੰ ਅਹਿਸਾਸ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਚੀਨ ਦਾ ਲਿਪੁਲੇਖ 'ਤੇ ਨੇਪਾਲ ਦੇ ਸਟੈਂਡ ਨਾਲ ਕੋਈ ਲੈਣਾ-ਦੇਣਾ ਨਹੀਂ ਹੈ' ਅਤੇ 'ਰਾਜਦੂਤ ਯਾਂਚੀ' ਨਾਮਕ ਇੱਕ ਦਸਤਾਵੇਜ਼ ਸ਼ਾਮਲ ਹਨ। Nepali_Media.pdf ਨਾਲ ਗੱਲਬਾਤ।' ਦਸਤਾਵੇਜ਼ ਵਿੱਚ ਕੋਵਿਡ-19, ਬੈਲਟ, ਰੋਡ ਇਨੀਸ਼ੀਏਟਿਵ ਅਤੇ ਹੁਮਲਾ ਜ਼ਿਲ੍ਹੇ ਵਿੱਚ ਖੇਤਰੀ ਮਾਮਲੇ ਬਾਰੇ ਨੇਪਾਲ ਵਿੱਚ ਚੀਨੀ ਰਾਜਦੂਤ ਨਾਲ ਇੰਟਰਵਿਊ ਸ਼ਾਮਲ ਹੈ।

ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਚੋਰੀ ਅਤੇ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ

ਵਰਤਮਾਨ ਵਿੱਚ ਚੱਲ ਰਹੇ ਸਾਈਡਵਿੰਡ ਏਪੀਟੀ ਓਪਰੇਸ਼ਨ ਵਿੱਚ ਕਈ ਅਟੈਕ ਵੈਕਟਰ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਦਾ ਉਦੇਸ਼ ਕਈ ਵੱਖਰੇ ਟੀਚਿਆਂ ਨੂੰ ਪੂਰਾ ਕਰਨਾ ਹੁੰਦਾ ਹੈ। ਪਹਿਲਾਂ, ਸਾਈਡਵਿੰਡ ਏਪੀਟੀ ਨੇ ਨਿਸ਼ਾਨਾ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਦੇ ਇਰਾਦੇ ਨਾਲ ਅਸਲ ਲੌਗਇਨ ਪੰਨਿਆਂ ਦੀਆਂ ਨਕਲੀ ਕਾਪੀਆਂ ਬਣਾਈਆਂ। ਉਦਾਹਰਨ ਲਈ, infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਖੋਜ ਕੀਤੀ ਕਿ 'mail-nepalgovnp.duckdns.org' ਨੂੰ 'mail.nepal.gov.np' 'ਤੇ ਸਥਿਤ ਨੇਪਾਲ ਸਰਕਾਰ ਦੇ ਡੋਮੇਨ ਦੇ ਤੌਰ 'ਤੇ ਜਾਇਜ਼ ਰੂਪ ਦੇਣ ਲਈ ਬਣਾਇਆ ਗਿਆ ਸੀ। ਇੱਕ ਵਾਰ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਪੀੜਤਾਂ ਨੂੰ ਜਾਂ ਤਾਂ ਅਸਲ ਲੌਗਇਨ ਪੰਨਿਆਂ 'ਤੇ ਜਾਂ ਪਹਿਲਾਂ ਜ਼ਿਕਰ ਕੀਤੇ ਦਸਤਾਵੇਜ਼ਾਂ 'ਤੇ ਹਾਟ-ਬਟਨ ਮੁੱਦਿਆਂ 'ਤੇ ਚਰਚਾ ਕਰਨ ਲਈ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਸਾਈਡਵਿੰਡ ਏਪੀਟੀ ਦੇ ਹਮਲੇ ਦੇ ਦੂਜੇ ਪਾਸੇ ਵਿੱਚ ਮਾਲਵੇਅਰ ਦੀ ਵੰਡ ਸ਼ਾਮਲ ਹੈ - ਇੱਕ ਬੈਕਡੋਰ ਧਮਕੀ ਅਤੇ ਇੱਕ ਜਾਣਕਾਰੀ-ਕੁਲੈਕਟਰ, ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਦੇ ਪ੍ਰਸਾਰ ਦੁਆਰਾ। ਲਾਗ ਵਿੱਚ ਇੱਕ ਗੁੰਝਲਦਾਰ ਹਮਲੇ ਦੀ ਲੜੀ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ ਜਿਸ ਵਿੱਚ ਕਈ ਪੜਾਅ ਅਤੇ ਕਈ ਡਰਾਪਰ ਹੁੰਦੇ ਹਨ। ਹਮਲਾ ਦੋ ਵੱਖ-ਵੱਖ ਦ੍ਰਿਸ਼ਾਂ ਦੀ ਪਾਲਣਾ ਕਰ ਸਕਦਾ ਹੈ:

• ਇੱਕ .lnk ਫਾਈਲ ਦੀ ਸ਼ੁਰੂਆਤੀ ਡਿਲੀਵਰੀ ਜੋ ਇੱਕ .rtf ਫਾਈਲ ਅਤੇ ਇੱਕ JavaScript ਫਾਈਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦੀ ਹੈ
• ਇੱਕ .zip ਆਰਕਾਈਵ ਦੀ ਸ਼ੁਰੂਆਤੀ ਡਿਲੀਵਰੀ ਜਿਸ ਵਿੱਚ ਇੱਕ ਧਮਕੀ ਭਰੀ .lnk ਫਾਈਲ ਹੈ। .lnk JavaScript ਨਾਲ ਇੱਕ .hta ਫਾਈਲ ਪ੍ਰਾਪਤ ਕਰਕੇ ਹਮਲੇ ਦੇ ਅਗਲੇ ਪੜਾਅ ਦੀ ਸ਼ੁਰੂਆਤ ਕਰਦਾ ਹੈ।

.rtf ਫਾਈਲਾਂ CVE-2017-11882 ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੀਆਂ ਹਨ, ਜੋ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਨੂੰ ਕਿਸੇ ਵੀ ਉਪਭੋਗਤਾ ਦੀ ਆਪਸੀ ਤਾਲਮੇਲ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ ਡਿਵਾਈਸ 'ਤੇ ਮਨਮਾਨੇ ਧਮਕੀ ਕੋਡ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ। ਹਾਲਾਂਕਿ ਇਹ ਵਿਸ਼ੇਸ਼ ਸ਼ੋਸ਼ਣ 2017 ਵਿੱਚ ਠੀਕ ਕੀਤਾ ਗਿਆ ਸੀ, ਸਾਈਬਰ ਅਪਰਾਧੀ ਅਜੇ ਵੀ ਇਸਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ ਕਿਉਂਕਿ ਇਹ ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਆਫਿਸ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਿੰਡੋਜ਼, ਅਤੇ 2000 ਤੱਕ ਵਾਪਸ ਜਾਣ ਵਾਲੇ ਆਰਕੀਟੈਕਚਰ ਕਿਸਮਾਂ ਦੇ ਕਿਸੇ ਵੀ ਅਣਪਛਾਤੇ ਸੰਸਕਰਣ ਨੂੰ ਪ੍ਰਭਾਵਤ ਕਰ ਸਕਦਾ ਹੈ।

ਹਾਲਾਂਕਿ, ਦੋਵੇਂ ਹਮਲੇ ਦੇ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਅੰਤਮ ਟੀਚਾ JavaScript ਫਾਈਲਾਂ ਦੁਆਰਾ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਅਸਲ ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਲਈ ਇੱਕ ਡਰਾਪਰ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਹਨ।

ਪੂਰੀ ਤਰ੍ਹਾਂ ਤੈਨਾਤ ਕੀਤੇ ਜਾਣ 'ਤੇ, ਸਾਈਡਵਿੰਡ APT ਦੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਟੂਲ ਵੱਖ-ਵੱਖ ਕਿਸਮਾਂ ਦੀ ਜਾਣਕਾਰੀ ਦੀ ਕਟਾਈ ਕਰ ਸਕਦੇ ਹਨ, ਨਾਲ ਹੀ ਸਮੂਹ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਲਈ ਚੁਣੀਆਂ ਗਈਆਂ ਫਾਈਲਾਂ ਨੂੰ ਬਾਹਰ ਕੱਢ ਸਕਦੇ ਹਨ। ਇਕੱਤਰ ਕੀਤੇ ਡੇਟਾ ਵਿੱਚ ਉਪਭੋਗਤਾ ਖਾਤੇ ਦੇ ਵੇਰਵੇ, ਸਿਸਟਮ ਜਾਣਕਾਰੀ, ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ, CPU ਵੇਰਵੇ, OS ਵੇਰਵੇ, ਨੈੱਟਵਰਕ ਵੇਰਵੇ, ਸਥਾਪਿਤ ਐਂਟੀ-ਵਾਇਰਸ ਪ੍ਰੋਗਰਾਮ, ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ, ਸਾਰੀਆਂ ਜੁੜੀਆਂ ਡਰਾਈਵਾਂ ਅਤੇ ਸਥਾਪਿਤ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਵੇਰਵੇ ਸ਼ਾਮਲ ਹਨ। ਡਾਟਾ-ਕੁਲੈਕਟਰ ਧਮਕੀ ਚਾਰ ਖਾਸ ਸਥਾਨਾਂ ਵਿੱਚ ਸਾਰੀਆਂ ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਵੀ ਸੂਚੀਬੱਧ ਕਰਦੀ ਹੈ:

• ਉਪਭੋਗਤਾ\%USERNAME%\ਡੈਸਕਟੌਪ,
• ਵਰਤੋਂਕਾਰ\%USERNAME%\ਡਾਊਨਲੋਡ,
• ਵਰਤੋਂਕਾਰ\%USERNAME%\ਦਸਤਾਵੇਜ਼,
• ਵਰਤੋਂਕਾਰ\%USERNAME%\ਸੰਪਰਕ

ਇੱਕ ਮੋਬਾਈਲ ਮੁਹਿੰਮ ਉਸਾਰੀ ਅਧੀਨ ਹੈ

ਸਾਈਡਵਿੰਡ ਏਪੀਟੀ ਕੋਲ ਕਾਰਜਾਂ ਵਿੱਚ ਇੱਕ ਹਮਲਾ ਮੁਹਿੰਮ ਵੀ ਹੈ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਮੋਬਾਈਲ ਉਪਕਰਣਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਏਗੀ. ਕਈ ਐਪਲੀਕੇਸ਼ਨਾਂ ਪਹਿਲਾਂ ਹੀ ਖੋਜੀਆਂ ਜਾ ਚੁੱਕੀਆਂ ਹਨ, ਉਹ ਸਾਰੀਆਂ ਅਧੂਰੀ ਸਥਿਤੀ ਵਿੱਚ ਹਨ। ਕੁਝ ਵਿੱਚ ਅਜੇ ਤੱਕ ਕੋਈ ਧਮਕੀ ਵਾਲਾ ਕੋਡ ਨਹੀਂ ਸੀ ਪਰ ਜਿੰਨਾ ਸੰਭਵ ਹੋ ਸਕੇ ਜਾਇਜ਼ ਦਿਖਾਈ ਦੇਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਅਜਿਹੀ ਹੀ ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ 'ਓਪੀਨੀਅਨਪੋਲ' ਕਿਹਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਇਹ ਨੇਪਾਲ-ਭਾਰਤ ਰਾਜਨੀਤਿਕ ਵਿਵਾਦ 'ਤੇ ਰਾਏ ਇਕੱਠੀ ਕਰਨ ਲਈ ਇੱਕ ਸਰਵੇਖਣ ਐਪਲੀਕੇਸ਼ਨ ਹੋਣ ਦਾ ਦਿਖਾਵਾ ਕਰ ਰਹੀ ਹੈ। ਹੋਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਪਹਿਲਾਂ ਹੀ ਲਾਗੂ ਹੋਣ ਵਾਲੀਆਂ ਧਮਕੀਆਂ ਵਾਲੀਆਂ ਸਮਰੱਥਾਵਾਂ ਸਨ ਪਰ ਫਿਰ ਵੀ ਇਹ ਸੰਕੇਤ ਦਿਖਾਏ ਹਨ ਕਿ ਉਹਨਾਂ ਦੇ ਪੂਰਾ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਹੋਰ ਕੰਮ ਦੀ ਲੋੜ ਹੈ।

ਇਹ ਪਹਿਲੀ ਵਾਰ ਨਹੀਂ ਹੈ ਜਦੋਂ ਸਾਈਡਵਿੰਡ ਏਪੀਟੀ ਨੇ ਆਪਣੀਆਂ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਟੂਲਸ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ ਹੈ। ਪਹਿਲਾਂ, ਉਹਨਾਂ ਨੂੰ ਫੋਟੋਗ੍ਰਾਫੀ ਟੂਲਸ ਦੇ ਫਾਈਲ ਮੈਨੇਜਰ ਦਾ ਬਹਾਨਾ ਬਣਾ ਕੇ ਧਮਕੀ ਦੇਣ ਵਾਲੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਤਾਇਨਾਤ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਇੱਕ ਵਾਰ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਉਹਨਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਤੋਂ ਬਾਅਦ, SideWind APT ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੇ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸ 'ਤੇ ਰੂਟ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ CVE-2019-2215 ਸ਼ੋਸ਼ਣ ਅਤੇ MediaTek-SU ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਲਾਭ ਉਠਾਇਆ।