SideWind APT

SideWind เป็นชื่อที่กำหนดให้กับกลุ่มแฮ็กเกอร์ Advanced Persistent Threat (APT) ที่แสดงความสนใจอย่างถาวรในภูมิภาคเอเชียใต้ ขณะนี้กลุ่มกำลังดำเนินการรณรงค์โจมตีในวงกว้างต่อเป้าหมายในภูมิภาคเดียวกันนั้น โดยเฉพาะอย่างยิ่ง แฮกเกอร์พยายามที่จะประนีประนอมหน่วยงานที่ตั้งอยู่ในเนปาลและอัฟกานิสถาน เป้าหมายที่ได้รับการยืนยัน ได้แก่ กองทัพเนปาล กระทรวงกลาโหมและการต่างประเทศเนปาล กระทรวงกลาโหมศรีลังกา คณะมนตรีความมั่นคงแห่งชาติอัฟกานิสถาน และทำเนียบประธานาธิบดีในอัฟกานิสถาน ในการดำเนินงาน SideWind APT แสดงให้เห็นถึงความสามารถในการรวมเหตุการณ์ระดับโลกและประเด็นทางการเมืองที่เฉพาะเจาะจงสำหรับภูมิภาคเอเชียใต้เข้ากับแคมเปญฟิชชิ่งและมัลแวร์ได้อย่างรวดเร็ว กลุ่มได้ใช้ประโยชน์จากการระบาดใหญ่ของโควิด-19 ในปฏิบัติการที่คุกคามหลายครั้งแล้ว ในขณะที่แคมเปญล่าสุดยังมีลิงก์ไปยังบทความชื่อ 'อินเดียควรตระหนักว่าจีนไม่มีส่วนเกี่ยวข้องกับจุดยืนของเนปาลต่อลิปูเลห์' และเอกสารชื่อ 'เอกอัครราชทูต หยานชี การสนทนากับ Nepali_Media.pdf' เอกสารดังกล่าวประกอบด้วยบทสัมภาษณ์เอกอัครราชทูตจีนประจำเนปาลเกี่ยวกับโควิด-19, โครงการ Belt, Road Initiative และเรื่องอาณาเขตในเขตฮุมลา

การโจรกรรมข้อมูลรับรองและอีเมลฟิชชิ่ง

การดำเนินการ SideWind APT ที่กำลังดำเนินอยู่ในปัจจุบันเกี่ยวข้องกับเวกเตอร์การโจมตีหลายแบบที่มีจุดมุ่งหมายเพื่อบรรลุเป้าหมายที่แตกต่างกันหลายประการ ประการแรก SideWind APT ได้สร้างสำเนาปลอมของหน้าเข้าสู่ระบบจริงโดยมีจุดประสงค์เพื่อรวบรวมข้อมูลประจำตัวของผู้ใช้ที่เป็นเป้าหมาย ตัวอย่างเช่น นักวิจัยของ infosec ค้นพบว่า 'mail-nepalgovnp.duckdns.org' ถูกสร้างขึ้นเพื่อปลอมแปลงเป็นโดเมนของรัฐบาลเนปาลที่ถูกต้องตามกฎหมายซึ่งอยู่ที่ 'mail.nepal.gov.np' เมื่อข้อมูลประจำตัวถูกเก็บเกี่ยวแล้ว ผู้ที่ตกเป็นเหยื่อจะเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบจริงหรือไปยังเอกสารที่กล่าวถึงก่อนหน้านี้ซึ่งกล่าวถึงปัญหาปุ่มลัด

อีกด้านหนึ่งของการโจมตีของ SideWind APT เกี่ยวข้องกับการกระจายมัลแวร์ - ภัยคุกคามลับๆ และตัวรวบรวมข้อมูล ผ่านการเผยแพร่อีเมลฟิชชิ่ง การติดเชื้อเกี่ยวข้องกับห่วงโซ่การโจมตีที่ซับซ้อนซึ่งมีหลายขั้นตอนและหลายหยด การโจมตีสามารถเกิดขึ้นได้สองสถานการณ์:

• การนำส่งไฟล์ .lnk เบื้องต้นที่ดาวน์โหลดไฟล์ .rtf และไฟล์ JavaScript
• การส่งไฟล์ .zip เบื้องต้นที่มีไฟล์ .lnk ที่คุกคาม .lnk เริ่มการโจมตีในขั้นต่อไปโดยการดึงไฟล์ .hta ด้วย JavaScript

ไฟล์ .rtf ใช้ประโยชน์จากช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้คุกคามสามารถเรียกใช้โค้ดที่คุกคามโดยพลการบนอุปกรณ์โดยไม่จำเป็นต้องโต้ตอบกับผู้ใช้ใดๆ แม้ว่าช่องโหว่นี้จะได้รับการแก้ไขในปี 2560 แต่อาชญากรไซเบอร์ยังคงใช้ช่องโหว่นี้ เนื่องจากอาจส่งผลต่อ Microsoft Office, Microsoft Windows และประเภทสถาปัตยกรรมที่ไม่ได้แพตช์ใดๆ ไปจนถึงปี 2000

อย่างไรก็ตาม ในการโจมตีทั้งสองกรณี เป้าหมายสุดท้ายทำได้โดยผ่านไฟล์ JavaScript ที่ทำหน้าที่เป็นหยดสำหรับเพย์โหลดมัลแวร์จริง

เมื่อปรับใช้อย่างสมบูรณ์ เครื่องมือคุกคามของ SideWind APT สามารถเก็บเกี่ยวข้อมูลประเภทต่างๆ รวมทั้งแยกไฟล์ที่เลือกไปยังโครงสร้างพื้นฐาน Command-and-Control (C2, C&C) ของกลุ่ม ข้อมูลที่รวบรวมรวมถึงรายละเอียดบัญชีผู้ใช้ ข้อมูลระบบ กระบวนการทำงาน รายละเอียด CPU รายละเอียดระบบปฏิบัติการ รายละเอียดเครือข่าย โปรแกรมป้องกันไวรัสที่ติดตั้ง สิทธิ์ รายละเอียดสำหรับไดรฟ์ที่เชื่อมต่อทั้งหมดและแอปพลิเคชันที่ติดตั้ง ภัยคุกคามตัวรวบรวมข้อมูลยังแสดงรายการไดเร็กทอรีทั้งหมดในสี่ตำแหน่งเฉพาะ:

• Users\%USERNAME%\Desktop,
• Users\%USERNAME%\ดาวน์โหลด,
• Users\%USERNAME%\Documents,
• Users\%USERNAME%\Contacts

แคมเปญมือถืออยู่ระหว่างการก่อสร้าง

SideWind APT ยังมีแคมเปญโจมตีในงานที่จะกำหนดเป้าหมายอุปกรณ์มือถือของผู้ใช้ มีการค้นพบแอปพลิเคชันหลายรายการโดยทั้งหมดอยู่ในสถานะที่ยังไม่เสร็จ บางรหัสยังไม่มีรหัสที่คุกคาม แต่ได้รับการออกแบบมาให้ดูเหมือนถูกกฎหมายมากที่สุด แอปพลิเคชันดังกล่าวเรียกว่า 'OpinionPoll' และแอบอ้างเป็นแอปพลิเคชันสำรวจเพื่อรวบรวมความคิดเห็นเกี่ยวกับข้อพิพาททางการเมืองระหว่างเนปาล-อินเดีย แอปพลิเคชันอื่นๆ มีการใช้งานที่คุกคามแล้ว แต่ยังคงแสดงสัญญาณว่าจำเป็นต้องดำเนินการเพิ่มเติมก่อนที่จะเสร็จสิ้น

นี่ไม่ใช่ครั้งแรกที่ SideWind APT ใช้เครื่องมือมัลแวร์บนมือถือในกิจกรรมของพวกเขา ก่อนหน้านี้ มีการสังเกตว่าพวกเขาปรับใช้แอปพลิเคชันที่คุกคามโดยอ้างว่าเป็นตัวจัดการไฟล์ของเครื่องมือถ่ายภาพ เมื่อผู้ใช้ดาวน์โหลดแล้ว แอปพลิเคชัน SideWind APT จะใช้ประโยชน์จากช่องโหว่ CVE-2019-2215 และช่องโหว่ MediaTek-SU เพื่อรับสิทธิ์รูทบนอุปกรณ์ที่ถูกบุกรุก