సైడ్‌విండ్ APT

SideWind అనేది దక్షిణాసియా ప్రాంతంలో శాశ్వత ఆసక్తిని కనబరుస్తున్న హ్యాకర్ల యొక్క అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) గ్రూప్‌కు కేటాయించబడిన పేరు. సమూహం ప్రస్తుతం అదే ప్రాంతంలోని లక్ష్యాలపై విస్తృత-శ్రేణి దాడి ప్రచారంలో నిమగ్నమై ఉంది. మరింత ప్రత్యేకంగా, హ్యాకర్లు ప్రధానంగా నేపాల్ మరియు ఆఫ్ఘనిస్తాన్‌లో ఉన్న ఎంటిటీలను రాజీ చేసేందుకు ప్రయత్నిస్తున్నారు. ధృవీకరించబడిన లక్ష్యాలలో నేపాలీ సైన్యం, నేపాలీ రక్షణ మరియు విదేశీ వ్యవహారాల మంత్రిత్వ శాఖలు, శ్రీలంక రక్షణ మంత్రిత్వ శాఖ, ఆఫ్ఘనిస్తాన్ జాతీయ భద్రతా మండలి మరియు ఆఫ్ఘనిస్తాన్‌లోని అధ్యక్ష భవనం ఉన్నాయి. దాని కార్యకలాపాలలో, SideWind APT తమ ఫిషింగ్ మరియు మాల్వేర్ ప్రచారాలలో దక్షిణాసియా ప్రాంతానికి సంబంధించిన ప్రపంచ ఈవెంట్‌లు మరియు రాజకీయ సమస్యలను త్వరగా చేర్చగల సామర్థ్యాన్ని ప్రదర్శిస్తుంది. సమూహం ఇప్పటికే అనేక బెదిరింపు కార్యకలాపాలలో COVID-19 మహమ్మారిని సద్వినియోగం చేసుకుంది, అయితే తాజా ప్రచారంలో 'లిపులేఖ్‌పై నేపాల్ స్టాండ్‌తో భారతదేశం రియలైజ్ చైనాకు ఏమీ సంబంధం లేదు' అనే కథనానికి మరియు 'అంబాసిడర్ యాంచి' అనే పత్రానికి లింక్‌లు కూడా ఉన్నాయి. Nepali_Media.pdfతో సంభాషణ.' ఈ డాక్యుమెంట్‌లో హుమ్లా జిల్లాలో COVID-19, బెల్ట్, రోడ్ ఇనిషియేటివ్ మరియు ప్రాదేశిక విషయాలకు సంబంధించి నేపాల్‌లోని చైనా రాయబారితో ఇంటర్వ్యూ ఉంది.

క్రెడెన్షియల్ థెఫ్ట్ మరియు ఫిషింగ్ ఇమెయిల్‌లు

ప్రస్తుతం కొనసాగుతున్న SideWind APT ఆపరేషన్ అనేక విభిన్న లక్ష్యాలను సాధించే లక్ష్యంతో అనేక దాడి వెక్టర్‌లను కలిగి ఉంటుంది. ముందుగా, SideWind APT లక్ష్య వినియోగదారుల ఆధారాలను సేకరించే ఉద్దేశ్యంతో వాస్తవ లాగిన్ పేజీల నకిలీ కాపీలను సృష్టించింది. ఉదాహరణకు, 'mail.nepal.gov.np.'లో ఉన్న చట్టబద్ధమైన నేపాల్ ప్రభుత్వ డొమైన్‌గా మాస్క్వెరేడ్ చేయడానికి 'mail-nepalgovnp.duckdns.org' సృష్టించబడిందని ఇన్ఫోసెక్ పరిశోధకులు కనుగొన్నారు. ఆధారాలను సేకరించిన తర్వాత, బాధితులు నిజమైన లాగిన్ పేజీలకు లేదా హాట్-బటన్ సమస్యలను చర్చించే గతంలో పేర్కొన్న పత్రాలకు దారి మళ్లిస్తారు.

SideWind APT యొక్క దాడి యొక్క మరొక వైపు మాల్వేర్ పంపిణీని కలిగి ఉంటుంది - బ్యాక్‌డోర్ థ్రెట్ మరియు ఇన్ఫో-కలెక్టర్, ఫిషింగ్ ఇమెయిల్‌ల వ్యాప్తి ద్వారా. ఇన్ఫెక్షన్‌లో సంక్లిష్టమైన దాడి గొలుసు ఉంటుంది, ఇందులో బహుళ దశలు మరియు అనేక డ్రాపర్‌లు ఉంటాయి. దాడి రెండు విభిన్న దృశ్యాలను అనుసరించవచ్చు:

• .rtf ఫైల్ మరియు JavaScript ఫైల్‌ను డౌన్‌లోడ్ చేసే .lnk ఫైల్ యొక్క ప్రారంభ డెలివరీ
• బెదిరింపు .lnk ఫైల్‌ని కలిగి ఉన్న .zip ఆర్కైవ్ యొక్క ప్రారంభ డెలివరీ. జావాస్క్రిప్ట్‌తో .hta ఫైల్‌ని పొందడం ద్వారా .lnk దాడి యొక్క తదుపరి దశను ప్రారంభిస్తుంది.

.rtf ఫైల్‌లు CVE-2017-11882 దుర్బలత్వాన్ని ఉపయోగించుకుంటాయి, ఇది ఎటువంటి వినియోగదారు పరస్పర చర్య అవసరం లేకుండా పరికరంలో ఏకపక్ష బెదిరింపు కోడ్‌ను అమలు చేయడానికి థ్రెట్ యాక్టర్‌ని అనుమతిస్తుంది. ఈ ప్రత్యేక దోపిడీని 2017లో పరిష్కరించినప్పటికీ, సైబర్ నేరగాళ్లు ఇప్పటికీ దీనిని ఉపయోగిస్తున్నారు, ఎందుకంటే ఇది మైక్రోసాఫ్ట్ ఆఫీస్, మైక్రోసాఫ్ట్ విండోస్ మరియు ఆర్కిటెక్చర్ రకాలను 2000 వరకు ప్రభావితం చేయగలదు.

అయితే, రెండు దాడి సందర్భాలలో, అసలు మాల్వేర్ పేలోడ్‌ల కోసం డ్రాపర్‌గా పనిచేసే JavaScript ఫైల్‌ల ద్వారా తుది లక్ష్యం సాధించబడుతుంది.

పూర్తిగా అమలు చేయబడినప్పుడు, SideWind APT యొక్క బెదిరింపు సాధనాలు వివిధ సమాచార రకాలను సేకరించగలవు, అలాగే ఎంచుకున్న ఫైల్‌లను సమూహం యొక్క కమాండ్-అండ్-కంట్రోల్ (C2, C&C) అవస్థాపనకు ఎక్స్‌ఫిల్ట్రేట్ చేయగలవు. సేకరించిన డేటాలో వినియోగదారు ఖాతా వివరాలు, సిస్టమ్ సమాచారం, రన్నింగ్ ప్రాసెస్‌లు, CPU వివరాలు, OS వివరాలు, నెట్‌వర్క్ వివరాలు, ఇన్‌స్టాల్ చేయబడిన యాంటీ-వైరస్ ప్రోగ్రామ్‌లు, అధికారాలు, కనెక్ట్ చేయబడిన అన్ని డ్రైవ్‌లు మరియు ఇన్‌స్టాల్ చేసిన అప్లికేషన్‌ల వివరాలు ఉంటాయి. డేటా-కలెక్టర్ ముప్పు నాలుగు నిర్దిష్ట స్థానాల్లోని అన్ని డైరెక్టరీలను కూడా జాబితా చేస్తుంది:

• వినియోగదారులు\%USERNAME%\డెస్క్‌టాప్,
• వినియోగదారులు\%USERNAME%\డౌన్‌లోడ్‌లు,
• వినియోగదారులు\%USERNAME%\పత్రాలు,
• వినియోగదారులు\%USERNAME%\పరిచయాలు

మొబైల్ ప్రచారం నిర్మాణంలో ఉంది

SideWind APT కూడా వినియోగదారుల మొబైల్ పరికరాలను లక్ష్యంగా చేసుకునే పనిలో దాడి ప్రచారాన్ని కలిగి ఉంది. అనేక అప్లికేషన్లు ఇప్పటికే కనుగొనబడ్డాయి, అవన్నీ అసంపూర్తిగా ఉన్నాయి. కొన్నింటిలో ఇంకా బెదిరింపు కోడ్ లేదు కానీ వీలైనంత వరకు చట్టబద్ధంగా కనిపించేలా రూపొందించబడ్డాయి. అలాంటి ఒక అప్లికేషన్ 'OpinionPoll' అని పిలువబడుతుంది మరియు నేపాల్-భారత్ రాజకీయ వివాదంపై అభిప్రాయాలను సేకరించడానికి ఒక సర్వే అప్లికేషన్‌గా నటిస్తోంది. ఇతర అప్లికేషన్‌లు ఇప్పటికే అమలు చేయబడిన బెదిరింపు సామర్థ్యాలను కలిగి ఉన్నాయి, అయితే అవి పూర్తి కావడానికి ముందు మరింత పని అవసరమని సంకేతాలను చూపుతున్నాయి.

SideWind APT తమ కార్యకలాపాలలో మొబైల్ మాల్వేర్ సాధనాలను ఉపయోగించడం ఇదే మొదటిసారి కాదు. గతంలో, ఫోటోగ్రఫీ సాధనాల ఫైల్ మేనేజర్‌గా నటిస్తూ బెదిరింపు అప్లికేషన్‌లను మోహరించడం గమనించబడింది. వినియోగదారు వాటిని డౌన్‌లోడ్ చేసిన తర్వాత, SideWind APT అప్లికేషన్‌లు CVE-2019-2215 దోపిడీ మరియు MediaTek-SU దుర్బలత్వాలను ఉపయోగించి రాజీపడిన పరికరంలో రూట్ అధికారాలను పొందుతాయి.