SideWind APT

SideWind este numele atribuit unui grup de hackeri APT (Advanced Persistent Threat) care și-au manifestat un interes de durată pentru regiunea Asiei de Sud. Grupul este în prezent implicat într-o campanie de atac cu gamă largă împotriva țintelor din aceeași regiune. Mai precis, hackerii încearcă să compromită entități situate în principal în Nepal și Afganistan. Țintele confirmate includ armata nepaleză, ministerele nepaleze ale apărării și afacerilor externe, Ministerul Apărării din Sri Lanka, Consiliul de Securitate Națională din Afganistan și Palatul Prezidențial din Afganistan. În operațiunile sale, SideWind APT demonstrează capacitatea de a încorpora rapid evenimente globale și probleme politice specifice regiunii Asiei de Sud în campaniile lor de phishing și malware. Grupul a profitat deja de pandemia COVID-19 în mai multe operațiuni amenințătoare, în timp ce cea mai recentă campanie include, de asemenea, link-uri către un articol numit „India ar trebui să realizeze că China nu are nimic de-a face cu poziția Nepalului pe Lipulekh” și un document numit „Ambasadorul Yanchi”. Conversație cu Nepali_Media.pdf.' Documentul conține un interviu cu ambasadorul chinez în Nepal cu privire la COVID-19, Inițiativa Centura, Drumul și problema teritorială din districtul Humla.

E-mailuri de furt de acreditări și phishing

Operațiunea SideWind APT aflată în desfășurare în prezent implică mai mulți vectori de atac care urmăresc să atingă mai multe obiective distincte. În primul rând, SideWind APT a creat copii falsificate ale paginilor de conectare reale cu intenția de a colecta acreditările utilizatorilor vizați. De exemplu, cercetătorii Infosec au descoperit că „mail-nepalgovnp.duckdns.org” a fost creat pentru a se preface drept domeniul legitim al guvernului Nepal, situat la „mail.nepal.gov.np”. Odată culese acreditările, victimele au fost redirecționate fie către paginile de autentificare reale, fie către documentele menționate anterior, care discutau probleme de la hot-button.

Cealaltă parte a atacului SideWind APT implică distribuirea de malware - o amenințare backdoor și un colector de informații, prin diseminarea de e-mailuri de phishing. Infecția implică un lanț complex de atac care conține mai multe etape și mai multe picături. Atacul ar putea urma două scenarii diferite:

• Livrarea inițială a unui fișier .lnk care descarcă un fișier .rtf și un fișier JavaScript
• Livrarea inițială a unei arhive .zip care conține un fișier .lnk amenințător. .lnk începe următoarea fază a atacului prin preluarea unui fișier .hta cu JavaScript

Fișierele .rtf exploatează vulnerabilitatea CVE-2017-11882, care permite actorului amenințării să ruleze cod arbitrar de amenințare pe dispozitiv fără a fi nevoie de nicio interacțiune a utilizatorului. Deși această exploatare specială a fost remediată încă din 2017, infractorii cibernetici încă îl folosesc, deoarece poate afecta orice versiune nepatchată a Microsoft Office, Microsoft Windows și tipurile de arhitectură începând cu anul 2000.

Cu toate acestea, în ambele cazuri de atac, obiectivul final este atins prin fișierele JavaScript care acționează ca un dropper pentru încărcăturile utile de malware actual.

Când sunt implementate complet, instrumentele amenințătoare ale SideWind APT pot colecta diferite tipuri de informații, precum și pot exfiltra fișierele selectate în infrastructura de comandă și control (C2, C&C) a grupului. Datele colectate includ detalii despre contul utilizatorului, informații despre sistem, procese de rulare, detalii CPU, detalii despre sistemul de operare, detalii despre rețea, programe antivirus instalate, privilegii, detalii pentru toate unitățile conectate și aplicațiile instalate. Amenințarea colectorului de date listează, de asemenea, toate directoarele în patru locații specifice:

• Utilizatori\%USERNAME%\Desktop,
• Utilizatori\%USERNAME%\Descărcări,
• Utilizatori\%USERNAME%\Documente,
• Utilizatori\%USERNAME%\Contacte

O campanie mobilă este în construcție

SideWind APT are și o campanie de atac în lucru, care va viza dispozitivele mobile ale utilizatorilor. Au fost deja descoperite mai multe aplicații, toate fiind într-o stare neterminată. Unele nu conțineau încă niciun cod de amenințare, dar au fost concepute să pară cât mai legitime posibil. O astfel de aplicație se numește „OpinionPoll” și se preface a fi o aplicație de sondaj pentru a aduna opinii cu privire la disputa politică Nepal-India. Alte aplicații aveau deja implementate capabilități amenințătoare, dar încă au arătat semne că este nevoie de mai multă muncă înainte de a fi terminate.

Nu este prima dată când SideWind APT folosește instrumente mobile malware în activitățile lor. Anterior, s-a observat că implementează aplicații amenințătoare care pretind că sunt manager de fișiere ale instrumentelor de fotografie. Odată ce utilizatorul le-a descărcat, aplicațiile SideWind APT au folosit exploatarea CVE-2019-2215 și vulnerabilitățile MediaTek-SU pentru a obține privilegii de root pe dispozitivul compromis.