Licenca për shumë pajisje (Zbritje në vëllim)
Threat Database Advanced Persistent Threat (APT) SideWind APT

SideWind APT

Nga GoldSparrowAdvanced Persistent Threat (APT)
Përkthe në:
Shqip

SideWind është emri i caktuar për një grup hakerësh të Kërcënimeve të Avancuara (APT) që kanë treguar interes të qëndrueshëm në rajonin e Azisë Jugore. Grupi aktualisht është i angazhuar në një fushatë sulmi me rreze të gjerë kundër objektivave në të njëjtin rajon. Më konkretisht, hakerët po përpiqen të komprometojnë entitete të vendosura kryesisht në Nepal dhe Afganistan. Objektivat e konfirmuara përfshijnë Ushtrinë Nepaleze, Ministrinë Nepaleze të Mbrojtjes dhe Punëve të Jashtme, Ministrinë e Mbrojtjes të Sri Lankës, Këshillin e Sigurisë Kombëtare të Afganistanit dhe Pallatin Presidencial në Afganistan. Në operacionet e tij, SideWind APT demonstron aftësinë për të përfshirë shpejt ngjarjet globale dhe çështjet politike specifike për rajonin e Azisë Jugore në fushatat e tyre të phishing dhe malware. Grupi ka përfituar nga pandemia COVID-19 në disa operacione kërcënuese tashmë, ndërsa fushata e fundit përfshin gjithashtu lidhje me një artikull të quajtur "India duhet të kuptojë se Kina nuk ka asnjë lidhje me qëndrimin e Nepalit ndaj Lipulekh" dhe një dokument të quajtur "Ambasadori Yanchi". Bisedë me Nepali_Media.pdf.' Dokumenti përmban një intervistë me ambasadorin kinez në Nepal në lidhje me COVID-19, Nismën Brez, Rrugë dhe çështjen territoriale në rrethin Humla.

Vjedhja e kredencialeve dhe emailet e phishing

Operacioni aktualisht në vazhdim SideWind APT përfshin disa vektorë sulmi që synojnë të arrijnë disa qëllime të dallueshme. Së pari, SideWind APT krijoi kopje të falsifikuara të faqeve aktuale të hyrjes me synimin për të mbledhur kredencialet e përdoruesve të synuar. Për shembull, studiuesit e infosec zbuluan se 'mail-nepalgovnp.duckdns.org' u krijua për t'u maskuar si domeni legjitim i qeverisë së Nepalit i vendosur në 'mail.nepal.gov.np.' Pasi të mblidheshin kredencialet, viktimat u ridrejtuan ose në faqet e vërteta të hyrjes ose në dokumentet e përmendura më parë që diskutonin çështjet kryesore.

Ana tjetër e sulmit të SideWind APT përfshin shpërndarjen e malware - një kërcënim në prapavijë dhe një grumbullues informacioni, përmes shpërndarjes së emaileve phishing. Infeksioni përfshin një zinxhir sulmi kompleks që përmban faza të shumta dhe disa pikatore. Sulmi mund të ndjekë dy skenarë të ndryshëm:

  • Dorëzimi fillestar i një skedari .lnk që shkarkon një skedar .rtf dhe një skedar JavaScript
  • Dorëzimi fillestar i një arkivi .zip që përmban një skedar kërcënues .lnk. .lnk fillon fazën tjetër të sulmit duke marrë një skedar .hta me JavaScript

Skedarët .rtf shfrytëzojnë cenueshmërinë CVE-2017-11882, e cila i lejon aktorit të kërcënimit të ekzekutojë kodin arbitrar kërcënues në pajisje pa pasur nevojë për ndonjë ndërveprim të përdoruesit. Edhe pse ky shfrytëzim i veçantë u rregullua shumë në vitin 2017, kriminelët kibernetikë ende e përdorin atë pasi mund të ndikojë në çdo version të papatchuar të Microsoft Office, Microsoft Windows dhe llojet e arkitekturës deri në vitin 2000.

Sidoqoftë, në të dyja rastet e sulmit, qëllimi përfundimtar arrihet përmes skedarëve JavaScript që veprojnë si pikatore për ngarkesat aktuale të malware.

Kur vendosen plotësisht, mjetet kërcënuese të SideWind APT mund të mbledhin lloje të ndryshme informacioni, si dhe të nxjerrin skedarë të përzgjedhur në infrastrukturën Command-and-Control (C2, C&C) të grupit. Të dhënat e mbledhura përfshijnë detajet e llogarisë së përdoruesit, informacionin e sistemit, proceset e ekzekutimit, detajet e CPU-së, detajet e OS, detajet e rrjetit, programet e instaluara anti-virus, privilegjet, detajet për të gjithë disqet e lidhur dhe aplikacionet e instaluara. Kërcënimi i grumbulluesit të të dhënave gjithashtu rendit të gjitha drejtoritë në katër lokacione specifike:

  • Përdoruesit\%USERNAME%\Desktop,
  • Përdoruesit\%USERNAME%\Shkarkimet,
  • Përdoruesit\%USERNAME%\Dokumentet,
  • Përdoruesit\%USERNAME%\Kontaktet

Një fushatë celulare është në ndërtim e sipër

SideWind APT ka gjithashtu një fushatë sulmi në punë që do të synojë pajisjet celulare të përdoruesve. Disa aplikacione tashmë janë zbuluar, me të gjitha ato në një gjendje të papërfunduar. Disa nuk përmbanin ende kod kërcënues, por ishin krijuar për t'u dukur sa më legjitime. Një aplikacion i tillë quhet 'OpinionPoll' dhe pretendon të jetë një aplikacion sondazhi për mbledhjen e opinioneve mbi mosmarrëveshjen politike Nepal-Indi. Aplikacionet e tjera kishin aftësi kërcënuese të zbatuara tashmë, por ende shfaqnin shenja se nevojitet më shumë punë përpara se të përfundojnë.

Kjo nuk është hera e parë që SideWind APT ka përdorur mjete mobile malware në aktivitetet e tyre. Më parë, ata janë vërejtur të vendosin aplikacione kërcënuese që pretendojnë se janë menaxher skedarësh të mjeteve të fotografisë. Pasi përdoruesi t'i ketë shkarkuar ato, aplikacionet SideWind APT përdorën dobësitë e shfrytëzimit CVE-2019-2215 dhe MediaTek-SU për të marrë privilegje rrënjësore në pajisjen e komprometuar.

Në trend

Më e shikuara

Po ngarkohet...