SideWind APT

SideWind är namnet som tilldelats en Advanced Persistent Threat (APT)-grupp av hackare som har visat bestående intresse för Sydasien. Gruppen är för närvarande engagerad i en omfattande attackkampanj mot mål i samma region. Mer specifikt försöker hackarna att kompromissa med enheter som huvudsakligen finns i Nepal och Afghanistan. De bekräftade målen inkluderar Nepals armé, Nepals försvars- och utrikesministerier, Sri Lankas försvarsministerium, Afghanistans nationella säkerhetsråd och presidentpalatset i Afghanistan. I sin verksamhet visar SideWind APT förmågan att snabbt införliva globala händelser och politiska frågor som är specifika för Sydasien-regionen i sina nätfiske- och skadliga kampanjer. Gruppen har redan utnyttjat covid-19-pandemin i flera hotfulla operationer, medan den senaste kampanjen också innehåller länkar till en artikel som heter "Indien bör inse att Kina inte har något att göra med Nepals ställning på Lipulekh" och ett dokument som heter "Ambassadör Yanchi" Konversation med Nepali_Media.pdf.' Dokumentet innehåller en intervju med den kinesiska ambassadören i Nepal angående covid-19, Belt, Road Initiative och territoriella frågor i Humladistriktet.

E-postmeddelanden om identitetsstöld och nätfiske

Den för närvarande pågående SideWind APT-operationen involverar flera attackvektorer som syftar till att uppnå flera distinkta mål. Först skapade SideWind APT falska kopior av faktiska inloggningssidor med avsikten att samla in de riktade användarnas referenser. Till exempel upptäckte infosec-forskare att "mail-nepalgovnp.duckdns.org" skapades för att maskera sig som den legitima nepalesiska regeringens domän på "mail.nepal.gov.np." När referenserna hade samlats in, omdirigerade offren antingen till de riktiga inloggningssidorna eller till de tidigare nämnda dokumenten som diskuterade problem med snabbknappar.

Den andra sidan av SideWind APT:s attack involverar spridning av skadlig programvara - ett bakdörrshot och en info-samlare, genom spridning av nätfiske-e-post. Infektionen involverar en komplex attackkedja som innehåller flera stadier och flera droppare. Attacken kan följa två olika scenarier:

• Initial leverans av en .lnk-fil som laddar ned en .rtf-fil och en JavaScript-fil
• Initial leverans av ett .zip-arkiv som innehåller en hotande .lnk-fil. .lnk startar nästa fas av attacken genom att hämta en .hta-fil med JavaScript

.rtf-filerna utnyttjar CVE-2017-11882-sårbarheten, vilket gör att hotaktören kan köra godtycklig hotande kod på enheten utan behov av någon användarinteraktion. Även om denna speciella exploatering åtgärdades redan 2017, använder cyberbrottslingar den fortfarande eftersom den kan påverka alla oparpade versioner av Microsoft Office, Microsoft Windows och arkitekturtyper som går tillbaka till 2000.

Men i båda attackfallen uppnås slutmålet genom JavaScript-filerna som fungerar som en droppe för de faktiska skadliga nyttolasterna.

När de är fullt utplacerade kan SideWind APT:s hotfulla verktyg samla in olika typer av information, samt exfiltrera utvalda filer till Command-and-Control (C2, C&C)-infrastrukturen i gruppen. Den insamlade informationen inkluderar användarkontodetaljer, systeminformation, pågående processer, CPU-detaljer, OS-detaljer, nätverksdetaljer, installerade antivirusprogram, privilegier, detaljer för alla anslutna enheter och installerade applikationer. Datainsamlarhotet listar också alla kataloger på fyra specifika platser:

• Användare\%USERNAME%\Desktop,
• Användare\%USERNAME%\Nedladdningar,
• Användare\%USERNAME%\Documents,
• Användare\%USERNAME%\Kontakter

En mobilkampanj är under uppbyggnad

SideWind APT har också en attackkampanj på gång som kommer att rikta in sig på användarnas mobila enheter. Flera applikationer har redan upptäckts, och alla är i ett ofullbordat tillstånd. Vissa innehöll ännu ingen hotfull kod, men var designade för att framstå som så legitima som möjligt. En sådan applikation kallas 'OpinionPoll' och låtsas vara en undersökningsapplikation för att samla in åsikter om den politiska konflikten mellan Nepal och Indien. Andra applikationer hade redan implementerade hotfulla funktioner men visade fortfarande tecken på att mer arbete krävs innan de är färdiga.

Det är inte första gången som SideWind APT använder mobila verktyg för skadlig programvara i sin verksamhet. Tidigare har de observerats distribuera hotfulla applikationer som låtsas vara filhanterare för fotograferingsverktyg. När användaren har laddat ner dem, utnyttjade SideWind APT-applikationerna CVE-2019-2215-exploateringen och MediaTek-SU-sårbarheterna för att få root-privilegier på den komprometterade enheten.