Боковой ветер APT

SideWind — это имя, присвоенное группе хакеров Advanced Persistent Threat (APT), которые проявляют постоянный интерес к региону Южной Азии. В настоящее время группа занимается широкомасштабной кампанией нападения на цели в том же регионе. В частности, хакеры пытаются скомпрометировать объекты, в основном расположенные в Непале и Афганистане. Подтвержденные цели включают непальскую армию, министерства обороны и иностранных дел Непала, министерство обороны Шри-Ланки, Совет национальной безопасности Афганистана и президентский дворец в Афганистане. В своей работе SideWind APT демонстрирует способность быстро включать глобальные события и политические вопросы, характерные для региона Южной Азии, в свои кампании по фишингу и вредоносным программам. Группа уже воспользовалась пандемией COVID-19 в нескольких угрожающих операциях, а последняя кампания также включает ссылки на статью под названием «Индия должна понять, что Китай не имеет ничего общего с позицией Непала в отношении Липулеха» и документ под названием «Посол Янчи». Разговор с Nepali_Media.pdf». Документ содержит интервью с послом Китая в Непале по поводу COVID-19, инициативы «Один пояс, один путь» и территориального вопроса в районе Хумла.

Кража учетных данных и фишинговые письма

Текущая в настоящее время операция SideWind APT включает в себя несколько векторов атаки, направленных на достижение нескольких различных целей. Во-первых, SideWind APT создал поддельные копии реальных страниц входа с целью сбора учетных данных целевых пользователей. Например, исследователи информационной безопасности обнаружили, что «mail-nepalgovnp.duckdns.org» был создан для маскировки под законный домен правительства Непала, расположенный по адресу «mail.nepal.gov.np». Как только учетные данные были собраны, жертвы перенаправлялись либо на настоящие страницы входа в систему, либо на ранее упомянутые документы, в которых обсуждались насущные проблемы.

Другая сторона атаки SideWind APT связана с распространением вредоносного ПО — бэкдора и сборщика информации — посредством рассылки фишинговых писем. Заражение включает в себя сложную цепочку атак, состоящую из нескольких этапов и нескольких дропперов. Атака может происходить по двум различным сценариям:

• Первоначальная доставка файла .lnk, который загружает файл .rtf и файл JavaScript.
• Первоначальная доставка ZIP-архива, содержащего угрожающий LNK-файл. .lnk запускает следующую фазу атаки, получая файл .hta с помощью JavaScript.

Файлы .rtf используют уязвимость CVE-2017-11882, которая позволяет злоумышленнику запускать на устройстве произвольный угрожающий код без необходимости какого-либо взаимодействия с пользователем. Хотя этот конкретный эксплойт был исправлен еще в 2017 году, киберпреступники все еще используют его, поскольку он может повлиять на любую неисправленную версию Microsoft Office, Microsoft Windows и типы архитектуры, начиная с 2000 года.

Однако в обоих случаях атаки конечная цель достигается за счет файлов JavaScript, которые действуют как дроппер для фактической полезной нагрузки вредоносного ПО.

При полном развертывании инструменты угроз SideWind APT могут собирать различную информацию, а также передавать выбранные файлы в инфраструктуру управления и контроля (C2, C&C) группы. Собранные данные включают сведения об учетной записи пользователя, системную информацию, запущенные процессы, сведения о ЦП, сведения об ОС, сведения о сети, установленные антивирусные программы, привилегии, сведения обо всех подключенных дисках и установленных приложениях. Угроза сборщика данных также перечисляет все каталоги в четырех конкретных местах:

• Пользователи\%USERNAME%\Рабочий стол,
• Пользователи\%USERNAME%\Загрузки,
• Пользователи\%USERNAME%\Документы,
• Пользователи\%USERNAME%\Контакты

Мобильная кампания находится в разработке

SideWind APT также проводит атакующую кампанию, нацеленную на мобильные устройства пользователей. Уже обнаружено несколько приложений, все они находятся в незавершенном состоянии. Некоторые из них пока еще не содержали угрожающего кода, но были спроектированы так, чтобы выглядеть как можно более законными. Одно из таких приложений называется OpinionPoll и претендует на роль опросного приложения для сбора мнений о политическом споре между Непалом и Индией. В других приложениях уже были реализованы угрожающие возможности, но все еще показывались признаки того, что требуется дополнительная работа, прежде чем они будут завершены.

SideWind APT уже не в первый раз использует в своей деятельности мобильные вредоносные инструменты. Ранее было замечено, что они развертывают угрожающие приложения, выдающие себя за файловый менеджер инструментов для работы с фотографиями. После того как пользователь загрузил их, APT-приложения SideWind использовали эксплойт CVE-2019-2215 и уязвимости MediaTek-SU для получения привилегий root на скомпрометированном устройстве.