SideWind APT

SideWind je ime, dodeljeno skupini hekerjev za napredno obstojno grožnjo (APT), ki so pokazali trajno zanimanje za regijo Južne Azije. Skupina je trenutno vključena v obsežno napadalno kampanjo proti tarčam v isti regiji. Natančneje, hekerji poskušajo ogroziti subjekte, ki se večinoma nahajajo v Nepalu in Afganistanu. Potrjene tarče vključujejo nepalsko vojsko, nepalsko ministrstvo za obrambo in zunanje zadeve, ministrstvo za obrambo Šrilanke, afganistanski svet za nacionalno varnost in predsedniško palačo v Afganistanu. SideWind APT pri svojem delovanju dokazuje sposobnost hitrega vključevanja globalnih dogodkov in političnih vprašanj, značilnih za južnoazijsko regijo, v svoje kampanje lažnega predstavljanja in zlonamerne programske opreme. Skupina je pandemijo COVID-19 izkoristila že v več grozečih operacijah, zadnja kampanja pa vključuje tudi povezave do članka z naslovom »Indija naj se zaveda, da Kitajska nima nič opraviti s stališčem Nepala na Lipulekhu« in dokumenta z naslovom »Ambassador Yanchi Pogovor z Nepali_Media.pdf.' Dokument vsebuje intervju s kitajskim veleposlanikom v Nepalu v zvezi s COVID-19, pobudo Belt, Road in teritorialno zadevo v okrožju Humla.

E-poštna sporočila o kraji poverilnic in lažnem predstavljanju

Trenutno potekajoča operacija SideWind APT vključuje več vektorjev napada, katerih cilj je doseči več različnih ciljev. Najprej je SideWind APT ustvaril ponarejene kopije dejanskih strani za prijavo z namenom zbiranja poverilnic ciljnih uporabnikov. Raziskovalci infoseca so na primer odkrili, da je bil 'mail-nepalgovnp.duckdns.org' ustvarjen, da bi se maskirali kot zakonita domena nepalske vlade, ki se nahaja na naslovu 'mail.nepal.gov.np.' Ko so bile poverilnice zbrane, so se žrtve preusmerile na prave strani za prijavo ali na prej omenjene dokumente, ki razpravljajo o težavah z vročimi gumbi.

Druga plat napada SideWind APT vključuje distribucijo zlonamerne programske opreme – grožnje iz zakulisja in zbiralnika informacij z širjenjem e-pošte z lažnim predstavljanjem. Okužba vključuje zapleteno verigo napadov, ki vsebuje več stopenj in več kapalk. Napad bi lahko potekal po dveh različnih scenarijih:

• Začetna dostava datoteke .lnk, ki prenese datoteko .rtf in datoteko JavaScript
• Začetna dostava arhiva .zip, ki vsebuje grozečo datoteko .lnk. .lnk začne naslednjo fazo napada s pridobivanjem datoteke .hta z JavaScriptom

Datoteke .rtf izkoriščajo ranljivost CVE-2017-11882, ki akterju grožnje omogoča, da na napravi zažene poljubno grozečo kodo brez potrebe po interakciji z uporabnikom. Čeprav je bil ta izkoriščanje popravljeno že leta 2017, ga kibernetski kriminalci še vedno uporabljajo, saj lahko vpliva na katero koli nepopravljeno različico Microsoft Officea, Microsoft Windows in arhitekturnih tipov vse do leta 2000.

Vendar pa je v obeh primerih napadov končni cilj dosežen z datotekami JavaScript, ki delujejo kot odstranjevalec dejanskih koristnih vsebin zlonamerne programske opreme.

Ko so v celoti nameščena, lahko grozeča orodja SideWind APT zbirajo različne vrste informacij, pa tudi izločijo izbrane datoteke v infrastrukturo za upravljanje in nadzor (C2, C&C) skupine. Zbrani podatki vključujejo podatke o uporabniških računih, sistemske informacije, zagnane procese, podrobnosti o procesorju, podrobnosti operacijskega sistema, podatke o omrežju, nameščene protivirusne programe, privilegije, podrobnosti za vse povezane pogone in nameščene aplikacije. Grožnja zbiralca podatkov prav tako navaja vse imenike na štirih določenih lokacijah:

• Uporabniki\%USERNAME%\Desktop,
• Uporabniki\%USERNAME%\Prenosi,
• Uporabniki\%USERNAME%\Documents,
• Uporabniki\%USERNAME%\Stiki

Mobilna kampanja je v izdelavi

SideWind APT pripravlja tudi napadalno kampanjo, ki bo ciljala na mobilne naprave uporabnikov. Odkritih je že več aplikacij, vse pa so v nedokončanem stanju. Nekateri še niso vsebovali ogrožene kode, vendar so bili zasnovani tako, da so videti čim bolj legitimni. Ena takih aplikacij se imenuje 'OpinionPoll' in se pretvarja, da je anketna aplikacija za zbiranje mnenj o političnem sporu Nepala in Indije. Druge aplikacije so imele grozljive zmogljivosti že implementirane, vendar so še vedno kazale znake, da je potrebno več dela, preden so končane.

To ni prvič, da je SideWind APT pri svojih dejavnostih uporabil orodja za mobilno zlonamerno programsko opremo. Prej so opazili, da uvajajo grozeče aplikacije, ki se pretvarjajo, da so upravljalnik datotek fotografskih orodij. Ko jih je uporabnik prenesel, so aplikacije SideWind APT izkoristile izkoriščanje CVE-2019-2215 in ranljivosti MediaTek-SU za pridobitev korenskih pravic na ogroženi napravi.