சைட்விண்ட் APT

SideWind என்பது தெற்காசிய பிராந்தியத்தில் நீடித்த ஆர்வத்தை வெளிப்படுத்திய ஹேக்கர்களின் மேம்பட்ட நிலைத்தன்மை அச்சுறுத்தல் (APT) குழுவிற்கு ஒதுக்கப்பட்ட பெயர். குழு தற்போது அதே பகுதியில் உள்ள இலக்குகளுக்கு எதிராக பரந்த அளவிலான தாக்குதல் பிரச்சாரத்தில் ஈடுபட்டுள்ளது. மேலும் குறிப்பாக, ஹேக்கர்கள் முக்கியமாக நேபாளம் மற்றும் ஆப்கானிஸ்தானில் அமைந்துள்ள நிறுவனங்களை சமரசம் செய்ய முயற்சிக்கின்றனர். உறுதிப்படுத்தப்பட்ட இலக்குகளில் நேபாள இராணுவம், நேபாள பாதுகாப்பு மற்றும் வெளியுறவு அமைச்சகங்கள், இலங்கை பாதுகாப்பு அமைச்சகம், ஆப்கானிஸ்தான் தேசிய பாதுகாப்பு கவுன்சில் மற்றும் ஆப்கானிஸ்தானில் உள்ள ஜனாதிபதி மாளிகை ஆகியவை அடங்கும். அதன் செயல்பாடுகளில், SideWind APT ஆனது உலகளாவிய நிகழ்வுகள் மற்றும் தெற்காசிய பிராந்தியத்தில் குறிப்பிட்ட அரசியல் சிக்கல்களை அவர்களின் ஃபிஷிங் மற்றும் மால்வேர் பிரச்சாரங்களில் விரைவாக இணைக்கும் திறனை நிரூபிக்கிறது. குழு ஏற்கனவே பல அச்சுறுத்தல் நடவடிக்கைகளில் COVID-19 தொற்றுநோயைப் பயன்படுத்திக் கொண்டுள்ளது, சமீபத்திய பிரச்சாரத்தில் 'லிபுலேக் மீதான நேபாளத்தின் நிலைப்பாட்டிற்கும் சீனாவுக்கும் எந்த தொடர்பும் இல்லை' என்ற கட்டுரை மற்றும் 'தூதர் யாஞ்சி' என்ற ஆவணத்திற்கான இணைப்புகளும் அடங்கும். Nepali_Media.pdf உடனான உரையாடல்.' ஹம்லா மாவட்டத்தில் கோவிட்-19, பெல்ட், சாலை முன்முயற்சி மற்றும் பிராந்திய விவகாரம் தொடர்பாக நேபாளத்திற்கான சீனத் தூதருடனான நேர்காணல் ஆவணத்தில் உள்ளது.

நற்சான்றிதழ் திருட்டு மற்றும் ஃபிஷிங் மின்னஞ்சல்கள்

தற்போது நடந்து கொண்டிருக்கும் SideWind APT செயல்பாட்டில் பல வேறுபட்ட இலக்குகளை அடைவதை நோக்கமாகக் கொண்ட பல தாக்குதல் வெக்டர்கள் அடங்கும். முதலில், SideWind APT ஆனது, இலக்கு வைக்கப்பட்ட பயனர்களின் நற்சான்றிதழ்களைச் சேகரிக்கும் நோக்கத்துடன் உண்மையான உள்நுழைவுப் பக்கங்களின் ஏமாற்றப்பட்ட நகல்களை உருவாக்கியது. எடுத்துக்காட்டாக, 'mail.nepal.gov.np.' இல் உள்ள சட்டபூர்வமான நேபாள அரசாங்கத்தின் டொமைனாக மாறுவேடமிடுவதற்காக 'mail-nepalgovnp.duckdns.org' உருவாக்கப்பட்டது என்பதை infosec ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். நற்சான்றிதழ்கள் அறுவடை செய்யப்பட்டவுடன், பாதிக்கப்பட்டவர்கள் உண்மையான உள்நுழைவு பக்கங்களுக்கு அல்லது ஹாட்-பட்டன் சிக்கல்களைப் பற்றி விவாதிக்கும் முன்னர் குறிப்பிடப்பட்ட ஆவணங்களுக்கு திருப்பி விடப்படுவார்கள்.

SideWind APT இன் தாக்குதலின் மறுபக்கம் தீம்பொருளின் விநியோகத்தை உள்ளடக்கியது - பின்கதவு அச்சுறுத்தல் மற்றும் ஃபிஷிங் மின்னஞ்சல்களைப் பரப்புவதன் மூலம் தகவல் சேகரிப்பான். தொற்று ஒரு சிக்கலான தாக்குதல் சங்கிலியை உள்ளடக்கியது, இதில் பல நிலைகள் மற்றும் பல துளிசொட்டிகள் உள்ளன. தாக்குதல் இரண்டு வெவ்வேறு காட்சிகளைப் பின்பற்றலாம்:

• .rtf கோப்பு மற்றும் JavaScript கோப்பைப் பதிவிறக்கும் .lnk கோப்பின் ஆரம்ப விநியோகம்
• அச்சுறுத்தும் .lnk கோப்பைக் கொண்ட .zip காப்பகத்தின் ஆரம்ப டெலிவரி. JavaScript உடன் .hta கோப்பைப் பெறுவதன் மூலம் .lnk தாக்குதலின் அடுத்த கட்டத்தைத் தொடங்குகிறது

.rtf கோப்புகள் CVE-2017-11882 பாதிப்பைப் பயன்படுத்திக் கொள்கின்றன, இது எந்தவொரு பயனர் தொடர்புகளின் தேவையும் இல்லாமல் சாதனத்தில் தன்னிச்சையான அச்சுறுத்தல் குறியீட்டை இயக்க அச்சுறுத்தல் நடிகரை அனுமதிக்கிறது. இந்த குறிப்பிட்ட சுரண்டல் 2017 இல் சரி செய்யப்பட்டாலும், சைபர் கிரைமினல்கள் இதைப் பயன்படுத்துகின்றனர், ஏனெனில் இது மைக்ரோசாஃப்ட் ஆபிஸ், மைக்ரோசாஃப்ட் விண்டோஸ் மற்றும் கட்டிடக்கலை வகைகளின் எந்தவொரு இணைக்கப்படாத பதிப்பையும் 2000 ஆம் ஆண்டு வரை பாதிக்கும்.

இருப்பினும், இரண்டு தாக்குதல் நிகழ்வுகளிலும், உண்மையான மால்வேர் பேலோடுகளுக்கு துளிசொட்டியாக செயல்படும் ஜாவாஸ்கிரிப்ட் கோப்புகள் மூலம் இறுதி இலக்கு அடையப்படுகிறது.

முழுமையாக பயன்படுத்தப்படும் போது, SideWind APT இன் அச்சுறுத்தும் கருவிகள் பல்வேறு தகவல் வகைகளை அறுவடை செய்யலாம், அத்துடன் குழுவின் கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) உள்கட்டமைப்பிற்கு தேர்ந்தெடுக்கப்பட்ட கோப்புகளை வெளியேற்றலாம். சேகரிக்கப்பட்ட தரவுகளில் பயனர் கணக்கு விவரங்கள், சிஸ்டம் தகவல், இயங்கும் செயல்முறைகள், CPU விவரங்கள், OS விவரங்கள், நெட்வொர்க் விவரங்கள், நிறுவப்பட்ட வைரஸ் தடுப்பு திட்டங்கள், சலுகைகள், இணைக்கப்பட்ட அனைத்து இயக்கிகள் மற்றும் நிறுவப்பட்ட பயன்பாடுகளுக்கான விவரங்கள் ஆகியவை அடங்கும். தரவு சேகரிப்பான் அச்சுறுத்தல் நான்கு குறிப்பிட்ட இடங்களில் உள்ள அனைத்து கோப்பகங்களையும் பட்டியலிடுகிறது:

• பயனர்கள்\%USERNAME%\டெஸ்க்டாப்,
• பயனர்கள்\%USERNAME%\பதிவிறக்கங்கள்,
• பயனர்கள்\%USERNAME%\ஆவணங்கள்,
• பயனர்கள்\%USERNAME%\தொடர்புகள்

ஒரு மொபைல் பிரச்சாரம் கட்டுமானத்தில் உள்ளது

SideWind APT ஆனது பயனர்களின் மொபைல் சாதனங்களை குறிவைக்கும் ஒரு தாக்குதல் பிரச்சாரத்தையும் கொண்டுள்ளது. பல பயன்பாடுகள் ஏற்கனவே கண்டுபிடிக்கப்பட்டுள்ளன, அவை அனைத்தும் முடிக்கப்படாத நிலையில் உள்ளன. சிலவற்றில் இதுவரை எந்த அச்சுறுத்தும் குறியீடும் இல்லை ஆனால் முடிந்தவரை சட்டப்பூர்வமாகத் தோன்றும் வகையில் வடிவமைக்கப்பட்டுள்ளது. அத்தகைய ஒரு விண்ணப்பம் 'OpinionPoll' என்று அழைக்கப்படுகிறது, மேலும் இது நேபாளம்-இந்தியா அரசியல் சர்ச்சையில் கருத்துக்களை சேகரிப்பதற்கான ஒரு கணக்கெடுப்பு விண்ணப்பமாக நடிக்கிறது. பிற பயன்பாடுகள் ஏற்கனவே செயல்படுத்தப்பட்ட அச்சுறுத்தும் திறன்களைக் கொண்டிருந்தன, ஆனால் அவை முடிவதற்குள் இன்னும் அதிக வேலை தேவை என்பதற்கான அறிகுறிகளைக் காட்டுகின்றன.

SideWind APT தனது செயல்பாடுகளில் மொபைல் மால்வேர் கருவிகளைப் பயன்படுத்துவது இது முதல் முறை அல்ல. முன்னதாக, புகைப்படக் கருவிகளின் கோப்பு மேலாளர் போல் பாசாங்கு செய்யும் அச்சுறுத்தும் பயன்பாடுகளை அவர்கள் பயன்படுத்துவதை அவதானித்தனர். பயனர் அவற்றைப் பதிவிறக்கியவுடன், SideWind APT பயன்பாடுகள் CVE-2019-2215 சுரண்டல் மற்றும் MediaTek-SU பாதிப்புகளைப் பயன்படுத்தி சமரசம் செய்யப்பட்ட சாதனத்தில் ரூட் சலுகைகளைப் பெறுகின்றன.