Лиценце за више уређаја (попусти на количину)
Threat Database Advanced Persistent Threat (APT) СидеВинд АПТ

СидеВинд АПТ

До GoldSparrow. у Advanced Persistent Threat (APT)
Преведи на:
Српски

СидеВинд је име додељено групи хакера за напредну трајну претњу (АПТ) који су показали трајно интересовање за регион Јужне Азије. Група је тренутно ангажована у широкој кампањи напада на циљеве у истом региону. Тачније, хакери покушавају да компромитују ентитете који се углавном налазе у Непалу и Авганистану. Потврђене мете укључују непалску војску, непалска министарства одбране и спољних послова, Министарство одбране Шри Ланке, Савет за националну безбедност Авганистана и Председничку палату у Авганистану. У својим операцијама, СидеВинд АПТ демонстрира способност брзог укључивања глобалних догађаја и политичких питања специфичних за регион Јужне Азије у своје кампање за крађу идентитета и малвер. Група је искористила пандемију ЦОВИД-19 у неколико пријетећих операција, док најновија кампања укључује и линкове на чланак под називом „Индија треба да схвати да Кина нема никакве везе са ставом Непала на Липулекх“ и документ под називом „Амбасадор Јанчи“. Разговор са Непали_Медиа.пдф.' Документ садржи интервју са кинеским амбасадором у Непалу у вези са ЦОВИД-19, иницијативом Појас, пут и територијалним питањима у округу Хумла.

Крађа акредитива и пхисхинг е-поруке

Операција СидеВинд АПТ која је тренутно у току укључује неколико вектора напада који имају за циљ постизање неколико различитих циљева. Прво, СидеВинд АПТ је направио лажне копије стварних страница за пријаву са намером да прикупи акредитиве циљаних корисника. На пример, истраживачи инфосец-а су открили да је „маил-непалговнп.дуцкднс.орг“ креиран да се маскира као домен легитимне непалске владе који се налази на „маил.непал.гов.нп“. Када су акредитиви прикупљени, жртве су се преусмериле или на праве странице за пријаву или на претходно поменуте документе у којима се дискутује о проблемима са врућим дугметом.

Друга страна напада СидеВинд АПТ-а укључује дистрибуцију злонамерног софтвера - бекдоор претње и сакупљача информација, кроз ширење пхисхинг емаил-ова. Инфекција укључује сложен ланац напада који садржи више фаза и неколико капалица. Напад би могао да следи два различита сценарија:

  • Почетна испорука .лнк датотеке која преузима .ртф датотеку и ЈаваСцрипт датотеку
  • Почетна испорука .зип архиве која садржи претећу .лнк датотеку. .лнк започиње следећу фазу напада преузимањем .хта датотеке са ЈаваСцрипт-ом

Датотеке .ртф искоришћавају рањивост ЦВЕ-2017-11882, која омогућава актеру претње да покрене произвољни претећи код на уређају без потребе за било каквом интеракцијом корисника. Иако је овај конкретан експлоатација поправљен још 2017. године, сајбер криминалци га и даље користе јер може утицати на било коју незакрпљену верзију Мицрософт Оффице-а, Мицрософт Виндовс-а и типова архитектуре све до 2000. године.

Међутим, у оба случаја напада, крајњи циљ се постиже путем ЈаваСцрипт датотека које делују као испуштач за стварни садржај злонамерног софтвера.

Када су у потпуности распоређени, претеће алатке СидеВинд АПТ-а могу прикупити различите врсте информација, као и ексфилтрирати одабране датотеке у командну и контролу (Ц2, Ц&Ц) инфраструктуру групе. Прикупљени подаци укључују детаље о корисничком налогу, информације о систему, покренуте процесе, детаље о ЦПУ-у, детаље о ОС-у, детаље о мрежи, инсталиране антивирусне програме, привилегије, детаље за све повезане дискове и инсталиране апликације. Претња сакупљача података такође наводи све директоријуме на четири одређене локације:

  • Корисници\%УСЕРНАМЕ%\Десктоп,
  • Корисници\%УСЕРНАМЕ%\Преузимања,
  • Корисници\%УСЕРНАМЕ%\Доцументс,
  • Корисници\%УСЕРНАМЕ%\Контакти

Мобилна кампања је у изради

СидеВинд АПТ такође има кампању напада која ће циљати мобилне уређаје корисника. Неколико апликација је већ откривено, а све су у недовршеном стању. Неки до сада нису садржали претеће шифре, али су дизајнирани да изгледају што је могуће легитимније. Једна таква апликација се зове 'ОпинионПолл' и претвара се да је апликација за истраживање за прикупљање мишљења о политичком спору Непала и Индије. Друге апликације су имале претеће могућности које су већ имплементиране, али су и даље показивале знаке да је потребно још посла пре него што буду готове.

Ово није први пут да СидеВинд АПТ користи мобилне алате за малвер у својим активностима. Раније је примећено да примењују претеће апликације које се претварају да управљају датотекама алата за фотографисање. Када их корисник преузме, СидеВинд АПТ апликације су искористиле ЦВЕ-2019-2215 рањивости и рањивости МедиаТек-СУ да би добиле роот привилегије на компромитованом уређају.

У тренду

'ИоуПорн' превара е-поште

Spam
Након детаљног прегледа 'ИоуПорн' мејлова, стручњаци за сајбер безбедност су потврдили њихову лажну природу. Ове е-поруке су део различитих варијанти нежељене поште, које све подсећају на тактике сексуалног изнуђивања. Заједничка нит ових обмањујућих е-порука је измишљена тврдња да је прималац умешан у сексуално експлицитан материјал недавно постављен на веб локацију ИоуПорн. Е-поруке...

Најгледанији

Превара е-поште 'Геек Скуад'

Phishing, Spam
14,963
Геек Скуад, популарни провајдер техничке подршке, постао је жртва пхисхинг преваре под називом Геек Скуад Емаил превара. Ова превара са техничком подршком користи лажне е-поруке које преваре људе да дају своје личне податке, као што су подаци о кредитној картици, адресе е-поште, па чак и бројеви социјалног осигурања. У овом чланку ћемо разговарати о самој превари, како она изгледа, одакле...
Учитавање...