Licenças para vários dispositivos (descontos por volume)
Threat Database Advanced Persistent Threat (APT) SideWind APT

SideWind APT

Por GoldSparrow em Advanced Persistent Threat (APT)
Traduzir Para:
Português

SideWind é o nome atribuído a um grupo de hackers de Ameaça Persistente Avançada (APT) que demonstrou interesse duradouro na região do Sul da Ásia. O grupo está atualmente envolvido em uma campanha de ataque de amplo alcance contra alvos na mesma região. Mais especificamente, os hackers estão tentando comprometer entidades localizadas principalmente no Nepal e no Afeganistão. Os alvos confirmados incluem o Exército do Nepal, os Ministérios da Defesa e Relações Exteriores do Nepal, o Ministério da Defesa do Sri Lanka, o Conselho de Segurança Nacional do Afeganistão e o Palácio Presidencial no Afeganistão. Em suas operações, o SideWind APT demonstra a capacidade de incorporar rapidamente eventos globais e questões políticas específicas da região do Sul da Ásia em suas campanhas de phishing e malware. O grupo já tirou proveito da pandemia COVID-19 em várias operações ameaçadoras, enquanto a campanha mais recente também inclui links para um artigo chamado 'Índia deveria perceber que a China não tem nada a ver com a posição do Nepal sobre Lipulekh' e um documento chamado 'Embaixador Yanchi Conversa com Nepali_Media.pdf. ' O documento contém uma entrevista com o embaixador chinês no Nepal sobre COVID-19, o Belt, Road Initiative e assunto territorial no distrito de Humla.

Roubo de Credenciais e Emails de Phishing

A operação atualmente em andamento do SideWind APT envolve vários vetores de ataque que visam realizar vários objetivos distintos. Primeiro, o SideWind APT criou cópias falsificadas de páginas de login reais com a intenção de coletar as credenciais dos usuários-alvo. Por exemplo, pesquisadores da infosec descobriram que 'mail-nepalgovnp.duckdns.org' foi criado para se mascarar como o domínio legítimo do governo do Nepal localizado em 'mail.nepal.gov.np.' Depois que as credenciais foram coletadas, as vítimas eram redirecionadas para as páginas de login reais ou para os documentos mencionados anteriormente, discutindo questões de botões de atalho.

O outro lado do ataque do SideWind APT envolve a distribuição de malware - uma ameaça de backdoor e um coletor de informações, por meio da disseminação de e-mails de phishing. A infecção envolve uma cadeia de ataque complexa que contém vários estágios e vários conta-gotas. O ataque pode seguir dois cenários diferentes:

  • Entrega inicial de um arquivo .lnk que baixa um arquivo .rtf e um arquivo JavaScript
  • Entrega inicial de um arquivo .zip contendo um arquivo .lnk ameaçador. O .lnk inicia a próxima fase do ataque buscando um arquivo .hta com JavaScript

Os arquivos .rtf exploram a vulnerabilidade CVE-2017-11882, que permite ao agente da ameaça executar código de ameaça arbitrário no dispositivo sem a necessidade de qualquer interação do usuário. Embora esse exploit específico tenha sido corrigido em 2017, os cibercriminosos ainda o usam, pois pode afetar qualquer versão sem patch do Microsoft Office, Microsoft Windows e tipos de arquitetura desde 2000.

No entanto, em ambos os casos de ataque, o objetivo final é alcançado por meio dos arquivos JavaScript que atuam como um dropper para cargas reais de malware.

Quando totalmente implantadas, as ferramentas ameaçadoras do SideWind APT podem coletar vários tipos de informações, bem como exfiltrar arquivos selecionados para a infraestrutura de comando e controle (C2, C&C) do grupo. Os dados coletados incluem detalhes da conta do usuário, informações do sistema, processos em execução, detalhes da CPU, detalhes do sistema operacional, detalhes da rede, programas antivírus instalados, privilégios, detalhes de todas as unidades conectadas e aplicativos instalados. A ameaça do coletor de dados também lista todos os diretórios em quatro locais específicos:

  • Usuários\%USERNAME%\Desktop,
  • Users\%USERNAME%\Downloads,
  • Users\%USERNAME%\Documents
  • Users\%USERNAME%\Contacts.

Uma Campanha para Celular está em Construção

O SideWind APT também tem uma campanha de ataque em andamento que terá como alvo os dispositivos móveis dos usuários. Vários aplicativos já foram descobertos, estando todos em estado inacabado. Alguns não continham nenhum código ameaçador ainda, mas foram projetados para parecer o mais legítimo possível. Um desses aplicativos é chamado de 'OpinionPoll' e finge ser um aplicativo de pesquisa para coletar opiniões sobre a disputa política entre o Nepal e a Índia. Outros aplicativos tinham recursos ameaçadores já implementados, mas ainda mostravam sinais de que mais trabalho é necessário antes de serem concluídos.

Esta não é a primeira vez que o SideWind APT emprega ferramentas de malware móvel em suas atividades. Anteriormente, eles implementaram aplicativos ameaçadores, fingindo ser o gerenciador de arquivos de ferramentas de fotografia. Depois que o usuário fez o download, os aplicativos SideWind APT aproveitaram o exploit CVE-2019-2215 e as vulnerabilidades do MediaTek-SU para obter privilégios de root no dispositivo comprometido.

Tendendo

Mais visto

Carregando...