SideWind APT

SideWind to nazwa przypisana grupie hakerów Advanced Persistent Threat (APT), która wykazała trwałe zainteresowanie regionem Azji Południowej. Grupa jest obecnie zaangażowana w szeroko zakrojoną kampanię ataków na cele w tym samym regionie. Mówiąc dokładniej, hakerzy próbują skompromitować podmioty zlokalizowane głównie w Nepalu i Afganistanie. Potwierdzone cele obejmują armię nepalską, nepalskie ministerstwa obrony i spraw zagranicznych, Ministerstwo Obrony Sri Lanki, Radę Bezpieczeństwa Narodowego Afganistanu i Pałac Prezydencki w Afganistanie. W swoich działaniach SideWind APT demonstruje zdolność szybkiego włączania globalnych wydarzeń i kwestii politycznych charakterystycznych dla regionu Azji Południowej do swoich kampanii phishingowych i złośliwego oprogramowania. Grupa wykorzystała już pandemię COVID-19 w kilku groźnych operacjach, podczas gdy najnowsza kampania zawiera również linki do artykułu zatytułowanego „Indie powinny zdać sobie sprawę, że Chiny nie mają nic wspólnego ze stanowiskiem Nepalu na Lipulekh” oraz dokument zatytułowany „Ambasador Yanchi Rozmowa z Nepali_Media.pdf.' Dokument zawiera wywiad z ambasadorem Chin w Nepalu dotyczący COVID-19, inicjatywy Belt, Road i spraw terytorialnych w dystrykcie Humla.

Kradzież poświadczeń i wiadomości phishingowe

Obecnie trwająca operacja SideWind APT obejmuje kilka wektorów ataku, których celem jest osiągnięcie kilku różnych celów. Po pierwsze, narzędzie SideWind APT utworzyło sfałszowane kopie rzeczywistych stron logowania z zamiarem zebrania danych uwierzytelniających docelowych użytkowników. Na przykład badacze infosec odkryli, że „mail-nepalgovnp.duckdns.org” został stworzony, aby podszywać się pod legalną domenę rządu Nepalu, znajdującą się pod adresem „mail.nepal.gov.np”. Po zebraniu danych uwierzytelniających ofiary przekierowywały albo do prawdziwych stron logowania, albo do wcześniej wspomnianych dokumentów omawiających kwestie związane z gorącymi przyciskami.

Druga strona ataku SideWind APT polega na rozpowszechnianiu złośliwego oprogramowania — zagrożenia typu backdoor i narzędzia do gromadzenia informacji — poprzez rozpowszechnianie wiadomości phishingowych. Infekcja obejmuje złożony łańcuch ataków, który składa się z wielu etapów i kilku dropperów. Atak może przebiegać w dwóch różnych scenariuszach:

• Pierwsze dostarczenie pliku .lnk, który pobiera plik .rtf i plik JavaScript
• Pierwsze dostarczenie archiwum .zip zawierającego zagrażający plik .lnk. .lnk rozpoczyna kolejną fazę ataku, pobierając plik .hta za pomocą JavaScript

Pliki .rtf wykorzystują lukę CVE-2017-11882, która pozwala podmiotowi działającemu na zagrożenie uruchomić na urządzeniu dowolny zagrażający kod bez potrzeby jakiejkolwiek interakcji użytkownika. Chociaż ten konkretny exploit został naprawiony już w 2017 roku, cyberprzestępcy nadal go używają, ponieważ może wpływać na każdą niezałataną wersję Microsoft Office, Microsoft Windows i typy architektury, począwszy od 2000 roku.

Jednak w obu przypadkach ataku cel końcowy jest osiągany dzięki plikom JavaScript, które działają jako dropper dla rzeczywistych ładunków złośliwego oprogramowania.

Po pełnym wdrożeniu groźne narzędzia SideWind APT mogą zbierać różne rodzaje informacji, a także eksfiltrować wybrane pliki do infrastruktury Command-and-Control (C2, C&C) grupy. Gromadzone dane obejmują szczegóły konta użytkownika, informacje o systemie, uruchomionych procesach, szczegóły procesora, szczegóły systemu operacyjnego, szczegóły sieci, zainstalowane programy antywirusowe, uprawnienia, szczegóły wszystkich podłączonych dysków i zainstalowanych aplikacji. Zagrożenie gromadzące dane zawiera również listę wszystkich katalogów w czterech określonych lokalizacjach:

• Użytkownicy\%USERNAME%\Pulpit,
• Użytkownicy\%USERNAME%\Pobrane,
• Użytkownicy\%USERNAME%\Dokumenty,
• Użytkownicy\%USERNAME%\Kontakty

Kampania mobilna jest w budowie

SideWind APT prowadzi również kampanię ataków, których celem będą urządzenia mobilne użytkowników. Odkryto już kilka aplikacji, a wszystkie z nich są w stanie niedokończonym. Niektóre nie zawierały jeszcze żadnego groźnego kodu, ale zostały zaprojektowane tak, aby wyglądały jak najbardziej uzasadnione. Jedna z takich aplikacji nosi nazwę „OpinionPoll” i udaje aplikację ankietową służącą do zbierania opinii na temat sporu politycznego Nepal-Indie. Inne aplikacje miały już zaimplementowane niebezpieczne możliwości, ale nadal wykazywały oznaki, że potrzeba więcej pracy, zanim zostaną ukończone.

To nie pierwszy raz, kiedy SideWind APT wykorzystuje w swoich działaniach narzędzia mobilnego szkodliwego oprogramowania. Wcześniej zaobserwowano, że wdrażają groźne aplikacje udające menedżera plików narzędzi fotograficznych. Po pobraniu ich przez użytkownika aplikacje SideWind APT wykorzystywały exploit CVE-2019-2215 i luki w zabezpieczeniach MediaTek-SU w celu uzyskania uprawnień administratora na zaatakowanym urządzeniu.