SideWind APT

SideWind je názov priradený skupine hackerov APT (Advanced Persistent Threat), ktorí prejavili trvalý záujem o región južnej Ázie. Skupina je v súčasnosti zapojená do rozsiahlej útočnej kampane proti cieľom v tom istom regióne. Konkrétnejšie, hackeri sa pokúšajú kompromitovať subjekty nachádzajúce sa najmä v Nepále a Afganistane. Medzi potvrdené ciele patrí nepálska armáda, nepálske ministerstvá obrany a zahraničných vecí, ministerstvo obrany Srí Lanky, Rada národnej bezpečnosti Afganistanu a prezidentský palác v Afganistane. Vo svojich operáciách SideWind APT demonštruje schopnosť rýchlo začleniť globálne udalosti a politické problémy špecifické pre región južnej Ázie do svojich phishingových a malvérových kampaní. Skupina už využila pandémiu COVID-19 v niekoľkých hrozivých operáciách, pričom najnovšia kampaň obsahuje aj odkazy na článok s názvom „India by si mala uvedomiť, že Čína nemá nič spoločné s postojom Nepálu na Lipulekh“ a dokument s názvom „Veľvyslanec Yanchi“. Rozhovor s Nepali_Media.pdf.' Dokument obsahuje rozhovor s čínskym veľvyslancom v Nepále o COVID-19, iniciatíve Belt, Road a územnej záležitosti v okrese Humla.

Krádež poverení a phishingové e-maily

V súčasnosti prebiehajúca operácia SideWind APT zahŕňa niekoľko vektorov útokov, ktorých cieľom je dosiahnuť niekoľko odlišných cieľov. Po prvé, SideWind APT vytvoril falošné kópie skutočných prihlasovacích stránok s úmyslom zhromaždiť poverenia cieľových používateľov. Napríklad výskumníci z infosec zistili, že „mail-nepalgovnp.duckdns.org“ bol vytvorený, aby sa vydával za legitímnu doménu nepálskej vlády umiestnenú na adrese „mail.nepal.gov.np“. Po získaní poverení boli obete presmerované buď na skutočné prihlasovacie stránky alebo na vyššie uvedené dokumenty, v ktorých sa diskutuje o problémoch s rýchlymi tlačidlami.

Druhá strana útoku SideWind APT zahŕňa distribúciu malvéru - backdoor hrozby a zberateľa informácií prostredníctvom šírenia phishingových e-mailov. Infekcia zahŕňa komplexný útočný reťazec, ktorý obsahuje viaceré štádiá a niekoľko kvapkadiel. Útok môže mať dva rôzne scenáre:

• Počiatočné doručenie súboru .lnk, ktorý stiahne súbor .rtf a súbor JavaScript
• Počiatočné doručenie archívu .zip obsahujúceho hrozivý súbor .lnk. .lnk začína ďalšiu fázu útoku načítaním súboru .hta pomocou JavaScriptu

Súbory .rtf využívajú zraniteľnosť CVE-2017-11882, ktorá umožňuje aktérovi hrozby spustiť na zariadení ľubovoľný ohrozujúci kód bez potreby akejkoľvek interakcie používateľa. Hoci tento konkrétny exploit bol opravený už v roku 2017, počítačoví zločinci ho stále používajú, pretože môže ovplyvniť akúkoľvek neoplatenú verziu balíka Microsoft Office, Microsoft Windows a architektúru až do roku 2000.

V oboch prípadoch útoku sa však konečný cieľ dosiahne prostredníctvom súborov JavaScript, ktoré fungujú ako kvapkadlo pre skutočné množstvo škodlivého softvéru.

Po úplnom nasadení môžu ohrozujúce nástroje SideWind APT zbierať rôzne druhy informácií, ako aj exfiltrovať vybrané súbory do infraštruktúry Command-and-Control (C2, C&C) skupiny. Zhromaždené údaje zahŕňajú podrobnosti o používateľskom účte, informácie o systéme, bežiacich procesoch, podrobnosti o CPU, podrobnosti o OS, podrobnosti o sieti, nainštalované antivírusové programy, oprávnenia, podrobnosti o všetkých pripojených jednotkách a nainštalovaných aplikáciách. Hrozba zberateľa údajov tiež uvádza zoznam všetkých adresárov na štyroch konkrétnych miestach:

• Používatelia\%USERNAME%\Počítač,
• Používatelia\%USERNAME%\Stiahnuté,
• Používatelia\%USERNAME%\Dokumenty,
• Používatelia\%USERNAME%\Kontakty

Mobilná kampaň je vo výstavbe

SideWind APT má v príprave aj útočnú kampaň, ktorá sa zameria na mobilné zariadenia používateľov. Objavených už bolo niekoľko aplikácií, pričom všetky sú v nedokončenom stave. Niektoré zatiaľ neobsahovali žiadny hrozivý kód, ale boli navrhnuté tak, aby vyzerali čo najlegitímnejšie. Jedna z takýchto aplikácií sa nazýva „OpinionPoll“ a vydáva sa za prieskumnú aplikáciu na zhromažďovanie názorov na politický spor medzi Nepálom a Indiou. Iné aplikácie už mali implementované ohrozujúce funkcie, ale stále vykazovali známky toho, že pred dokončením je potrebná ďalšia práca.

Nie je to prvýkrát, čo spoločnosť SideWind APT vo svojich aktivitách použila nástroje mobilného malvéru. Predtým boli pozorované pri nasadzovaní hrozivých aplikácií, ktoré predstierali správcu súborov fotografických nástrojov. Keď si ich používateľ stiahne, aplikácie SideWind APT využili zraniteľnosti CVE-2019-2215 a MediaTek-SU na získanie oprávnení root na napadnutom zariadení.